BlackEnergy Malware se informó por primera vez en 2007 como un conjunto de herramientas basado en HTTP que generaba bots para ejecutar ataques distribuidos de denegación de servicio . [1] En 2010, BlackEnergy 2 surgió con capacidades más allá de DDoS. En 2014, BlackEnergy 3 vino equipado con una variedad de complementos . [2] A un grupo con sede en Rusia conocido como Sandworm (también conocido como Voodoo Bear) se le atribuye el uso de ataques dirigidos BlackEnergy. El ataque se distribuye a través de un documento de Word o un archivo adjunto de PowerPoint en un correo electrónico, lo que atrae a las víctimas para que hagan clic en el archivo aparentemente legítimo. [3]
El código de BlackEnergy facilita diferentes tipos de ataques para infectar las máquinas objetivo. También está equipado con scripts del lado del servidor que los perpetradores pueden desarrollar en el servidor de comando y control (C&C). Los ciberdelincuentes utilizan el kit de herramientas de creación de bots de BlackEnergy para generar archivos ejecutables de cliente de bot personalizados que luego se distribuyen a los objetivos a través de correos electrónicos no deseados y campañas de correo electrónico de phishing . [4] BE1 carece de las funcionalidades de explotación y se basa en herramientas externas para cargar el bot. [5] BlackEnergy se puede detectar utilizando las firmas YARA proporcionadas por el Departamento de Seguridad Nacional de los Estados Unidos (DHS).
• Comandos de ataque DDoS (p. ej., inundación ICMP, inundación TCP SYN, inundación UDP, inundación HTTP get, inundación DNS, etc.) [1] [ se necesita aclaración ]
BlackEnergy 2 utiliza técnicas sofisticadas de inyección de procesos/ rootkit , cifrado sólido y una arquitectura modular conocida como "cuentagotas". [6] Esto descifra y descomprime el binario del controlador del rootkit y lo instala en la máquina de la víctima como un servidor con un nombre generado aleatoriamente. Como actualización de BlackEnergy 1, combina el código fuente antiguo del rootkit con nuevas funciones para desempaquetar e inyectar módulos en los procesos del usuario. [6] El contenido empaquetado se comprime con el algoritmo LZ77 y se cifra con una versión modificada de RC4cifrar. Una clave codificada de 128 bits descifra el contenido incrustado. Para descifrar el tráfico de red, el cifrado utiliza la cadena de identificación única del bot como clave. Una segunda variación del esquema de cifrado/compresión agrega un vector de inicialización al cifrado RC4 modificado para una protección adicional en el código auxiliar de desempaquetado del cuentagotas y del rootkit, pero no se usa en el rootkit interno ni en los módulos del espacio de usuario. La modificación principal en la implementación de RC4 en BlackEnergy 2 radica en el algoritmo de programación de claves. [6]
La última versión completa de BlackEnergy apareció en 2014. Los cambios simplificaron el código del malware: el instalador de esta versión coloca el componente principal de la biblioteca vinculada dinámicamente (DLL) directamente en la carpeta de datos de la aplicación local. [7] Esta variante del malware estuvo involucrada en el ciberataque a la red eléctrica de Ucrania de diciembre de 2015 . [8]