Kaspersky Lab détecte actuellement plus de 4 000 variantes de la première version de ce programme malveillant, tandis que la seconde version est apparue sur les écrans radar des chercheurs en sécurité il y a déjà 2 ans.

Black Energy 2 séduit les cyber criminels en raison de sa polyvalence et de sa facilité de manipulation. Il accepte des modules additionnels (plug-ins) qui permettent d’en modifier et d’en étendre aisément les fonctionnalités. Ces plug-ins peuvent être rapidement installés et mis à jour au moyen de commandes émises à distance à partir d’un centre de contrôle.

Les plug-ins les plus courants sont conçus pour lancer des attaques DDoS (déni de service distribué, dans le but de faire s’écrouler les systèmes visés). De nombreux ordinateurs « zombies » infectés par Black Energy 2 envoient simultanément des paquets de données malformés et/ou volumineux vers le noeud cible de l’attaque, via des commandes provenant du centre de contrôle. Cela a pour effet de surcharger le noeud cible, qui devient incapable de traiter d’autres données. Black Energy 2 emploie divers protocoles pour diffuser ce type de paquets. Cependant, les capacités de Black Energy 2 ne se limitent pas aux attaques DDoS. Les auteurs de programmes malveillants (malware) ont également développé des modules qui subtilisent les coordonnées bancaires ou propagent des codes malicieux via des réseaux peer-to-peer. « Il est difficile de prévoir à quoi ceux qui contrôlent les botnets vont les utiliser à l’avenir. Il est aisé pour les auteurs de malware de créer un plug-in et de le faire télécharger vers les machines infectées des utilisateurs », souligne l’auteur de l’article, Dmitry Tarakanov, analyste antivirus chez Kaspersky Lab.

L’article « Black DdoS » présente une vue d’ensemble des principaux composants de Black Energy 2 qui se chargent de l’infection et de la communication avec le centre de contrôle, ainsi que des plug-ins les plus courants et des commandes de base. Son texte complet, en anglais, est disponible sur le site Securelist.com.