Descubren ransomware que actúa en plena campaña de declaración de impuestos

PowerWare sería capaz de cifrar archivos generados por programas de impuestos para luego pedir rescates de 500 dólares a cambio de su restablecimiento.

El ransomware no está asociado únicamente al conocido como Virus de la Policía. Los ciberdelincuentes utilizan diversas técnicas para secuestrar los sistemas de sus víctimas y reclamar dinero a cambio de su liberación. Por ejemplo, aprovechando las campañas de declaración de impuestos.

Un nuevo crypto-ransomware denominado PowerWare podría causar estragos en este sentido si los usuarios caen en su trampa. Según explica la compañía de seguridad Trend Micro, este malware utiliza el pretexto de la presentación de impuestos para causar daño. Y no sólo el pretexto, sino que además de explotar Windows PowerShell para desplegar su maldad, es capaz de cifrar archivos vinculados directamente a los impuestos. Esto es, archivos creados por programas específicos, como los que llevan las extensiones .tax2013 y .tax2014 en Estados Unidos.

La particularidad de PowerWare sería su técnica de aprovechamiento de PowerShell y una macro maliciosa incrustada en un documento de Word que llega a las víctimas vía email, calificada de “bastante inusual” por Trend Micro y que le permite ejecutar códigos, descargar el script del ransomware y activarlo. Una de sus capacidades consistiría en “trazar las unidades de red y enumerar todas las unidades lógicas”.

Una vez que ha procedido a cifrar los archivos sobre impuestos, se autodestruye y planta un archivo HTML “en cada carpeta con un fichero cifrado, que detalla cómo un usuario afectado puede conseguir sus archivos de nuevo”, explican desde Trend Micro. En concreto, se pedirían casi 1.200 Bitcoins o 500 dólares para restablecer la situación y volver a la normalidad. Si el usuario se retrasa en el pago, se llegaría a duplicar la cantidad reclamada.

Los expertos en seguridad recomiendan hacer siempre copias de los archivos que se van generando con el uso de los dispositivos informáticos, y hacerlo además con cierta frecuencia. Así, si se cae víctima del ransomware, no se perderían los datos. Esto pasa por realizar 3 copias como mínimo, en 2 formatos distintos y con 1 copia off-site.

PowerWare-TrendMicro
PowerWare-TrendMicro2
PowerWare-TrendMicro3
PowerWare-TrendMicro4
PowerWare-TrendMicro5
PowerWare-TrendMicro6Imágenes: Trend Micro