El crypto-ransomware PowerWare se dirige a los archivos de impuestos

Igual que podemos estar seguros en relación a algunos aspectos de la vida, lo mismo pasa con el cibercrimen. El día para presentar la declaración de impuestos se acerca en EE.UU. y, como millones de americanos están inmersos en este proceso, los cibercriminales también están interviniendo para hacer que esta tarea sea más rentable para ellos y difícil para sus víctimas. Hemos sido testigos de incidentes recientes en organizaciones que caen por patrones de emails de negocio comprometidos  relacionados con la declaración de impuestos; ahora parece que los extorsionistas online se han sumado también a la refriega.

PowerWare (Trend Micro como RANSOM_POWERWARE.A) es un nuevo crypto-ransomware que explota Windows PowerShell para su proceso de infección. Sin embargo, aparte del cifrado de archivos que comúnmente realiza el ransomware, PowerWare también se dirige a los archivos de declaración de impuestos creados por los programas de presentación de impuestos (por ejemplo, archivos con extensiones .tax2013 y .tax2014). Tanto para usuarios como para las organizaciones, la pérdida de registros del período en vigor y de años previos puede ser una gran molestia que, en ocasiones resulta costosa. En EE.UU., por ejemplo, se recomienda que los contribuyentes guarden los registros de sus declaraciones de impuestos durante unos tres años después de la presentación de las mismas, ya que la ley de límites para evaluar los impuestos y las devoluciones se ejecuta durante ese mismo período de tiempo.

También vale la pena señalar que, si bien el ransomware que se dirige a los archivos específicos relacionados con los impuestos ya se ha visto con anterioridad, la técnica de PowerWare, que utiliza una macro y PowerShell, es bastante inusual.

 La infección comienza cuando los objetivos abren un documento de Microsoft Word con una macro maliciosa incrustada. Este documento se distribuye a través de mensajes de correo electrónico, que es una forma habitual para suministrar crypto-ransomware. El documento enseña a la víctima a habilitar las macros. Una vez que se habilitan, la macro maliciosa ejecuta los siguientes códigos:

Como se ve en los códigos anteriores, la macro utiliza cmd para ejecutar una instancia de Powershell.exe. Esta instancia se conecta a una web para descargar el script de ransomware PowerWare (también escrito en Powershell) y guardarlo en la carpeta temporal de Windows como Y.ps1. A continuación, el código ejecuta otra instancia PowerShell para correr PowerWare.

Como se mencionó antes, PowerWare cifra los archivos con extensión .tax2013 y .tax2014, entre otros, antes de autodestruirse. También dejar caer un archivo HTML denominado “FILES_ENCRYPTED-READ_ME.HTML” en cada carpeta con un fichero cifrado, que detalla cómo un usuario afectado puede conseguir sus archivos de nuevo.

Los atacantes piden 500 dólares, ó 1188 BTC (bitcoins) y el doble, si la víctima no realiza el pago antes del plazo concedido.

 

Aunque PowerWare es una nueva familia de crypto-ransomware, imita CryptoWall en cierta medida. Emplea el mismo diseño de la nota de rescate de CryptoWall, y al acceder al sitio de pago, también se puede observar que la barra de título lleva “Servicio de Decodificación de CryptoWall”. En cierto modo, PowerWare quiere tener el mismo impacto que una vez tuvo CryptoWall.

PowerWare también tiene la capacidad de trazar las unidades de red y enumerar todas las unidades lógicas, lo que le convierte en una gran amenaza para las grandes empresas con poca o ninguna experiencia en el manejo de amenazas como crypto-ransomware.

Cómo librarse del ransomware en esta campaña de impuestos El conocimiento de este tipo de amenazas actúa como una primera línea de defensa para el usuario frente al ransomware. Crear suficientes copias de seguridad con regularidad también ayuda a mitigar los daños causados por el ransomware. Igualmente, animamos a los usuarios a aplicar la regla 3-2-1 para realizar copias de seguridad de sus archivos:

  • Al menos tres copias,
  • En dos formatos diferentes,
  • con una de dichas copias off-site Las soluciones para el endpoint de Trend Micro como Trend Micro™ Security,  Smart Protection Suites, y Worry-Free™ Business Security pueden proteger a los usuarios finales y empresas de esta amenaza mediante la detección de los archivos maliciosos y mensajes de email antes de infectar al usuario. También son capaces de bloquear todas las URLs maliciosas relacionadas.
  • SHA1s de archivos relacionados:
  • 9abeef3ed793f28a24562c3e5c3104eee99daa1c – downloader
  • 8a26892a7949c6a29d9d620c2ffd4c58921d6736 – PowerWare
  • ee2c9cf8cf6314c27e9724c529df8b3fb7c2e985 – PowerWare

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.