La Habana, Cuba. – BlackEnergy es un malware de propósito múltiple que ha sido utilizado desde 2007 en ataques de tipo denegación de servicio y amenaza persistente avanzada. Se ha detectado que ese software tiene capacidad de extensión para incluir ataques a plataformas ARM y MIPS, dispositivos de redes Cisco, robo de certificados, puertas de entrada SSH, el componente KillDisk para destrucción de archivos, escritorio remoto, y otros. Se ha comprobado también el uso de BlackEnergy como ransomware.

Una vez instalado, el malware verifica que el equipo afectado realmente pertenezca al objetivo al que se quiere atacar e instala una puerta trasera SSH de manera que el atacante pueda tomar control efectivo del equipo afectado. El comportamiento de BlackEnergy en un ataque particular se configura mediante un archivo XML incluido dentro del ejecutable del software. Durante 2015, BlackEnergy junto con KillDisk fueron utilizados en Ucrania contra medios de comunicación durante las elecciones locales y contra empresas de sector eléctrico a finales de año.

Una investigación sobre el apagón del 23 de diciembre de 2015 en Ucrania muestra que el uso de BlackEnergy fue elemento crucial en el sabotaje coordinado a diferentes empresas de servicio eléctrico de Ucrania al dar acceso a los atacantes. Una vez adquirido el acceso, los atacantes procedieron a cortar la electricidad, lanzaron un ataque de denegación de servicio para impedir que llegaran los reportes de los usuarios e intentaron dañar la configuración de los sistemas SCADA, acrónimo de Supervisory Control And Data Acquisition (Supervisión, Control y Adquisición de Datos) de manera de entorpecer la reactivación del sistema eléctrico. Ese apagón es el primero en el mundo que ha sido documentado como producido con el uso de un malware.