Cybercriminelen veroorzaken stroomstoringen in Oekraïne
De stroomstoringen in Oekraïne van december vorig jaar zijn het directe gevolg van cyberspionage. De digitale spionnen gebruikten speciale malware die industriële systemen kan saboteren.Op 23 december vorig jaar werden ongeveer 700.000 mensen in de Ivano-Frankivsk-regio in Oekraïne getroffen door een stroomstoring van enkele uren. Volgens onderzoekers van beveiligingsspecialist ESET stond het incident niet op zichzelf. Tegelijkertijd werden andere energiecentrales in het land onder vuur genomen door cybercriminelen.
BlackEnergy
De aanvallers kwamen binnen via de zogeheten 'BlackEnergy' malware. Vervolgens konden ze een aangepaste variant van de malware 'KillDisk' achterlaten, waardoor de getroffen systemen niet meer konden starten. Het Trojaanse paard BlackEnergy is modulair en bestaat uit verschillende downloadbare componenten die elk specifieke taken uitvoeren. In 2014 werd het gebruikt in een serie cyberspionage-aanvallen gericht op belangrijke overheidsgerelateerde doelen in Oekraïne.
De eerste bekende link tussen BlackEnergy en het zeer destructieve Trojaanse paard KillDisk werd gerapporteerd in november 2015, door de Oekraïense cybersecurity-instelling CERT-UA. Toen werden enkele nieuwsmedia getroffen, precies in de periode van de lokale verkiezingen. Volgens CERT-UA vernietigden de aanvallers daarbij veel videomateriaal en verschillende documenten.
KillDisk
De KillDisk-variant gebruikt in de recente aanvallen was 'geoptimaliseerd' voor het aanvallen van energiecentrales. De normale variant wist systeembestanden en maakt daarmee een systeem volledig onklaar. De gebruikte variant bevatte echter code die specifiek gericht was op industriële systemen.
"Behalve de reguliere KillDisk-functionaliteit, probeerde deze variant ook processen uit te schakelen die wellicht behoren bij een in de industrie veelgebruikt platform voor Industrial Control Systems", zegt Anton Cherepanov, malware-onderzoeker bij ESET.
Lastig herstel
Als de malware deze processen aantreft, dan schakelt het deze niet alleen uit, maar overschrijft het bijbehorende uitvoerbare bestand met willekeurige gegevens. Dat maakt het systeemherstel veel lastiger.
"Onze analyse van de destructieve KillDisk-malware die we aantroffen in verschillende elektriciteitsbedrijven in Oekraïne toont aan dat dezelfde middelen zijn gebruikt als bij de aanval op de Oekraïense media. En die middelen kunnen kritische systemen platleggen", concludeert Cherepanov. Meer informatie over de aanval op Oekraïense elektriciteitsbedrijven is te vinden op WeLiveSecurity.com.
Dossiers
Meer over
Lees ook
Identiteitsfraude en misbruik van adminrechten behoren tot de grootste cyberrisico’s voor organisaties
Identiteitsfraude en misbruik van adminrechten behoren tot de belangrijkste cyberrisico’s voor organisaties, volgens Barracuda’s Managed XDR Global Threat Report (link). Eerdere cijfers lieten al zien dat firewalls een kritiek aanvalspunt zijn. Het rapport laat ook zien welke tactieken aanvallers gebruiken om binnen te dringen en hun mogelijkheden1
WatchGuard: 1548% meer nieuwe malware in één kwartaal, aanvallen steeds complexer
WatchGuard Technologies signaleert een explosieve stijging van nieuwe, unieke malware. In het vierde kwartaal van 2025 lag het aantal nieuwe varianten 1548% hoger dan in het kwartaal ervoor. Daarnaast wist 23 procent van alle gedetecteerde malware traditionele, op handtekeningen gebaseerde beveiliging te omzeilen
"Prominente cyberdreiging gaat tegen trend in en toont consistentie"
Het dreigingslandschap onderging het afgelopen jaar veel veranderingen op het gebied van gedrag, doelwitten en malwaregebruik. Veel dreigingsactoren zijn hiermee verdwenen. TA584 gaat tegen deze trend in en vertoont juist consistentie in gedragspatronen en het soort doelwitten.