El crypto-ransomware PowerWare se dirige a los archivos de impuestos En México Marzo y Abril son los meses para presentar la declaración anual de impuestos y miles de personas deben cumplir con este proceso. Y sabes qué, los cibercriminales están interviniendo para hacer que esta tarea sea más rentable para ellos y difícil para sus víctimas.
Gracias a los medios digitales todos somos testigos de incidentes recientes en organizaciones que caen por patrones de emails de negocio comprometidas relacionadas con la declaración de impuestos, hoy los cibercriminales no solo se preocupan por el ataque y sino que también se enfocan en la reputación, en afectar públicamente a las víctimas.
PowerWare es un nuevo crypto-ransomware que explota Windows PowerShell para su proceso de infección. Solo que además del cifrado de archivos que es la característica principal de un ransomware, esta variable se enfoca en los archivos de declaración de impuestos creados por los programas de presentación de impuestos, que involucran todos aquellos archivos con extensiones .tax2013 y .tax2014 por nombrar algunos ejemplos. Este tipo de ataques, afecta tanto a usuarios como organizaciones más aún si se someten a auditorías o controles que pidan como evidencia este tipo de información, si la información no se presenta las penalizaciones son costosas. En México se recomienda que cada contribuyente guarde los registros de sus declaraciones de impuestos durante 5 años por lo menos, ya que la ley de límites para evaluar los impuestos y las devoluciones se ejecuta durante ese mismo período de tiempo.
¿Cómo funciona?
La infección inicia cuando los objetivos abren un documento de Microsoft Word con una macro maliciosa incrustada, éste se distribuye a través de mensajes de correo electrónico, la forma más habitual para suministrar crypto-ransomware.
El documento enseña a la víctima a habilitar las macros. Una vez que se habilitan, la macro maliciosa ejecuta algunos códigos, así la macro utiliza cmd para ejecutar una instancia de Powershell.exe.
Esta instancia se conecta a una web para descargar el script de ransomware PowerWare (también escrito en Powershell) y guardarlo en la carpeta temporal de Windows como Y.ps1. A continuación, el código ejecuta otra instancia PowerShell para correr PowerWare.
PowerWare cifra los archivos con extensión .tax2013 y .tax2014, entre otros, antes de autodestruirse.
Una vez afectado, deja caer un archivo HTML denominado “FILES_ENCRYPTED-READ_ME.HTML” en cada carpeta con un fichero cifrado, que detalla cómo un usuario afectado puede conseguir sus archivos de nuevo.
Los atacantes piden 500 dólares, ó 1188 BTC (bitcoins) y el doble, si la víctima no realiza el pago antes del plazo concedido.
Con estos detalles podemos darnos cuenta que aunque PowerWare es una nueva familia de crypto-ransomware, imita CryptoWall. Ya que emplea el mismo diseño de la nota de rescate de CryptoWall, y al acceder al sitio de pago, también se puede observar que la barra de título lleva “Servicio de Decodificación de CryptoWall”.
Así que PowerWare tiene como fin tener el mismo impacto que una vez tuvo CryptoWall.
Si agregamos características nuevas, esta variable
tiene la capacidad de trazar las unidades de red y enumerar todas las unidades lógicas, lo que le convierte en una gran amenaza para las grandes empresas no importando su experiencia en el manejo de amenazas como crypto-ransomware. El conocimiento de este tipo de amenazas actúa como una primera línea de defensa para el usuario frente al ransomware, sin embargo entre las recomendaciones primordiales para esta nueva variante de #Ransomware:
La # 1 es crear suficientes copias de seguridad, adicional se debe aplicar la regla 3-2-1 para realizar copias de seguridad de sus archivos, al menos tres copias de Respaldo en 2 formatos diferentes. Con una de dichas copias off-site las soluciones enfocadas en el endpoint pueden proteger a los usuarios finales y organizaciones de este tipo de amenazas mediante el bloqueo de todas las URLs maliciosas relacionadas, la detección de los archivos maliciosos y mensajes de email antes de infectar al usuario y comprometer su información. Si quieres conocer más sobre la fuente de inspiración de este artículo
aquí lo encuentras, igual te recomendamos revisar estas infografías
Eres blanco de Ransomware ¡Actúa de forma inmediata!,
Ransomware sigue atacando y México es el principal afectado,
la historia de Ransomware. La idea principal es que conozcas como protegerte y que puedes hacer para evitar ser una víctima más. En Grupo Smartekh queremos ayudarte a aterrizar tu estrategia de prevención a fin de evitar cualquier afectación a tu negocio, si quieres programar una entrevista con un consultor experto.
¡AGENDALA YA! Si necesitas información adicional o podemos ayudarte de cualquier manera, siéntete libre de llamarnos
+52 55 5047 1030, escribirnos
informacion@smartekh.com o visitarnos
Torre Hemicor. Si te gusto lo que leíste, ¡Compártelo!
