Równocześnie z atakiem na Prykarpattyaoblenergę przeprowadzono cyberataki na inne ukraińskie przedsiębiorstwa energetyczne. Atakujący wykorzystali umieszczone wcześniej na komputerach pracowników przedsiębiorstw złośliwe oprogramowanie BlackEnergy, które posłużyło do zainstalowania i uruchomienia programu KillDisk.
Eset przedstawił prawdopodobną rekonstrukcję wydarzeń. Pracownik przedsiębiorstwa energetycznego otrzymał e-mail od atakującego, który podszywał się pod przedstawiciela ukraińskiego parlamentu. W załączniku znalazł się dokument pakietu biurowego, którego otwarcie wymagało włączenia obsługi makr.
Po zaakceptowaniu monitu dokument zainstalował na komputerze oprogramowanie BlackEnergy Lite, które z kolei ściągnęło i zainstalowało KillDisk. Malware ten potrafi wykasować wszystkie dane z dysków twardych atakowanych maszyn, wersja wykorzystana do ataku została rozbudowana o opcje opóźnienia uruchomienia i wprowadzania zmian w plikach specjalistycznego oprogramowania systemów przemysłowych.
Jak wynika z danych Eset, BlackEnergy był wykrywany na komputerach pracowników ukraińskich elektrowni już wcześniej, nie był jednak wtedy wykorzystywany do ściągnięcia i uruchomienia KillDiska. Ukraiński CERT zidentyfikował scenariusz ataku już w listopadzie 2015 r., kiedy to identyczne złośliwe oprogramowanie zostało wykorzystane do ataków na redakcje relacjonujące lokalne wybory.
Już w 2014 r. obecność BlackEnergy wykryto na komputerach wielu firm i instytucji nie tylko na Ukrainie, ale i w Polsce. Ówczesna wersja malware pozwalała, m.in. na kradzież plików i zdalne uruchamianie złośliwego oprogramowania.
Oprogramowanie było także wykrywane na komputerach w USA, co było bezpośrednim powodem zaangażowania się ICS-CERT w prace nad wyjaśnieniem incydentu.
Według amerykańskich ekspertów, BlackEnergy miało za zadanie uniemożliwić operatorom energetycznym wykrycie ataku, który polegał na odłączaniu części sieci przesyłowych. Przeprowadzono także atak typu DDoS na centrum obsługi klienta, wykonując telefony o fałszywych zgłoszeniach i opóźniając dotarcie informacji o blackoucie.
Ukraińskie służby ochrony państwa wskazują Rosję jako inicjatora ataku. Za twórców BlackEnergy uważa się finansowany przez Rosję zespół cyberszpiegowski SandWorm.