Seguridad

Un ransomware ataca a las declaraciones de impuestos en EEUU

ransomware ataca archivos declaracion impuestos
Escrito por Óscar Condés

PowerWare es un nuevo crypto-ransomware que está protagonizando una extorsión masiva en la campaña de declaraciones de impuestos norteamericana.

El día para presentar la declaración de impuestos se acerca en EEUU (En España el plazo se abre el próximo día 6) y como millones de americanos están inmersos en el proceso, los cibercriminales están aprovechando para sacar tajada. Desde la empresa de seguridad Trend Micro afirma haber sido testigos de incidentes recientes en organizaciones que caen por patrones de emails de negocio comprometidos (BEC) relacionados con la declaración de impuestos, y dicen que ahora parece que los extorsionistas online se han sumado también a la refriega.

PowerWare es un crypto-ransomware que explota Windows PowerShell para su proceso de infección. Aparte del cifrado de archivos que comúnmente realiza el ransomware, PowerWare también se dirige a los archivos de declaración de impuestos creados por los programas de presentación de éstos (por ejemplo los archivos con extensiones .tax2013 y .tax2014). Tanto para usuarios como para organizaciones, la pérdida de registros del período en vigor y de años previos puede ser una gran molestia que, en ocasiones resulta costosa. Por ejemplo, en EEUU se recomienda que los contribuyentes conserven los registros de sus declaraciones de impuestos durante unos tres años después de la presentación, puesto que la ley para revisar los impuestos y devoluciones establece ese mismo período de tiempo antes de su prescripción.

Desde Trend Micro también señalan que, si bien el ransomware que se dirige a los archivos específicos relacionados con los impuestos no es novedad, la técnica de PowerWare, que utiliza una macro y PowerShell, es bastante inusual. La infección comienza cuando los objetivos abren un documento de Microsoft Word con una macro maliciosa incrustada. Este documento se distribuye a través de mensajes de correo electrónico, una forma habitual para suministrar crypto-ransomware.

El documento enseña a la víctima a habilitar las macros. Una vez que se hace, la macro maliciosa ejecuta unos códigos. La macro utiliza cmd para ejecutar una instancia de Powershell.exe. Ésta se conecta a una web para descargar el script de ransomware PowerWare (también escrito en Powershell) y guardarlo en la carpeta temporal de Windows como Y.ps1. A continuación, el código ejecuta otra instancia PowerShell para correr PowerWare.

El precio a pagar

Como comentábamos, PowerWare cifra los archivos con extensión .tax2013 y .tax2014, entre otros, antes de autodestruirse. También deja caer un archivo HTML denominado “FILES_ENCRYPTED-READ_ME.HTML” en cada carpeta con un fichero cifrado, con detalles sobre cómo el usuario afectado puede recuperar sus archivos. Para ello, los atacantes piden 500 dólares o 1.188 BTC (bitcoins), el doble si la víctima no realiza el pago antes del plazo concedido.

Aunque PowerWare es una nueva familia de crypto-ransomware, imita a CryptoWall en cierta medida. Emplea el mismo diseño de la nota de rescate de CryptoWall, y al acceder al sitio de pago, también se puede observar que en la barra de título figura “Servicio de Decodificación de CryptoWall”. En cierto modo, PowerWare quiere tener el mismo impacto que en su día tuvo CryptoWall.

PowerWare también tiene la capacidad de trazar las unidades de red y enumerar todas las unidades lógicas, lo que le convierte en una gran amenaza para las grandes empresas con poca o ninguna experiencia en el manejo de amenazas como crypto-ransomware.

Cómo librarse de la amenaza

El conocimiento de este tipo de peligros actúa como una primera línea de defensa para el usuario frente al ransomware. Crear suficientes copias de seguridad con regularidad también ayuda a mitigar los daños causados. Igualmente, animamos a los usuarios a aplicar la regla 3-2-1 para realizar copias de seguridad de sus archivos: Al menos tres copias, en dos formatos diferentes, con una de dichas copias off-site.

Además desde Trend Micro recuerdan que soluciones para el endpoint como Trend Micro Security,  Smart Protection Suites, y Worry-Free Business Security pueden proteger a los usuarios finales y empresas de esta amenaza mediante la detección de los archivos maliciosos y mensajes de email antes de que lleguen a infectar al usuario. Además, también son capaces de bloquear todas las URLs maliciosas relacionadas.

El ransomware es el malware favorito de los ciberdelincuentes

 

Más información | Blog de Trend Micro

 

Sobre el autor de este artículo

Óscar Condés

Periodista todoterreno especializado en tecnología y con una amplia experiencia en medios de comunicación. Fotógrafo, realizador, bloguero, viajero y apasionado por la tecnología desde la era analógica. Asistiendo en primera línea de trinchera a los cambios de la revolución digital.