Según las investigaciones de ESET, los delincuentes estaban utilizando el troyano de puerta trasera BlackEnergy para incorporar el componente KillDisk en los ordenadores afectados de forma que no pudieran reiniciarse.
Desde ESET recuerdan que el troyano de puerta trasera BlackEnergy es modular y emplea diferentes componentes descargables para realizar tareas específicas. Mientras que los principales objetivos de los ataques de 2014 parecían tener que ver con el espionaje -con ataques de alto perfil a diferentes sedes del gobierno ucraniano-, en los recientes ataques contra las empresas de distribución de electricidad en Ucrania primero se descargó el troyano destructivo KillDisk y luego se ejecutó en los sistemas previamente infectados con el troyano BlackEnergy.
La primera conexión entre BlackEnergy y KillDisk fue denunciada por la Secretaría de Ciberseguridad del Gobierno de Ucrania, CERT-UA, en noviembre de 2015. En ese momento, varias compañías habían sido atacadas durante las elecciones locales en el país y, debido al ataque, se habían destruido documentos gubernamentales y material grabado en vídeo.
