GreyEnergy ontmaskerd
ESET-onderzoekers hebben details onthuld over de cyberspionage groep GreyEnergy. Het gaat om de opvolger van de BlackEnergy APT-groep die een paar jaar geleden 'ondergronds' ging na het terroriseren van Oekraïne. Het is ook nauw verwant aan TeleBots, verantwoordelijk voor NotPetya, misschien wel de meest schadelijke cyberaanval.
Onze onderzoekers hebben onomstotelijk aangetoond dat de malware toolkit van GreyEnergy zich zowel spiegelt aan en verbeteringen biedt ten opzichte van de reeds geavanceerde technieken die gebruikt werden bij de verwoestende NotPetya-aanvallen en stroomonderbrekingen in Oekraïne.
ESET’s onthulling van GreyEnergy is belangrijk voor een succesvolle verdediging tegen deze specifieke dreiging en voor een beter begrip van de tactiek, instrumenten en procedures van de meest geavanceerde APT-groepen.
Anton Cherepanov, ESET Senior Malware Researcher
Links tussen BlackEnergy, Industroyer en GreyEnergy
Organisaties die risico lopen
De gevolgen voor organisaties kunnen verwoestend zijn. In vergelijking met BlackEnergy is GreyEnergy een modernere toolkit met een nog grotere focus om verborgen te blijven. ESET-onderzoekers hebben aangetoond dat GreyEnergy de capaciteit heeft om volledige controle te krijgen over gehele bedrijfsnetwerken.
Een fundamentele stealth-techniek is om alleen geselecteerde modules naar geselecteerde doelwitten te sturen, en alleen wanneer dat nodig is. Bovendien zijn sommige GreyEnergy-modules gedeeltelijk versleuteld en blijven sommige modules fileless – alleen in het geheugen – met de intentie om analyse en detectie te belemmeren.
GreyEnergy operators verbergen hun sporen door het veilig wissen van de malwarecomponenten van de harde schijven van de slachtoffers.
De modules beschreven in de analyse van ESET werden gebruikt voor spionage- en verkenningsdoeleinden en omvatten: backdoor, informatieverzameling, het maken van screenshots, keylogging, het bemachtigen van wachtwoorden en inloggegevens.
Hoe ESET u beschermt
Het goede nieuws is dat ESET uw organisatie volledig kan beschermen. Onze meerlaagse technologie, gecombineerd met machine learning, menselijke expertise en wereldwijde threat intelligence, bestrijdt precies dit soort nieuwe, voorheen ongeziene bedreigingen.