Brian Jackson - Fotolia

Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Cibercriminales usan Microsoft PowerShell en ataques de ransomware

Una familia recién descubierta de ransomware, apodada PowerWare, utiliza Microsoft PowerShell para apuntar a las organizaciones a través de documentos habilitados para macros.

Los delincuentes cibernéticos están lanzando ataques contra empresas de salud y otras organizaciones con ransomware creado usando lenguaje de script PowerShell de Microsoft para la administración del sistema.

El ransomware fue descubierto por investigadores de la empresa de seguridad Carbon Black cuando una organización de salud fue atacada sin éxito a través de una campaña de phishing por correo electrónico.

La familia recién descubierta de ransomware –llamada PowerWare por los investigadores– apunta a las organizaciones a través de un documento de Microsoft Word habilitado para macros, como una factura falsa.

Este enfoque de usar PowerShell para recuperar y ejecutar el código malicioso significa que el ransomware puede evitar escribir nuevos archivos en el disco y se mezcla con la actividad legítima, por lo que es mucho más difícil de detectar.

Las variantes tradicionales de ransomware instalan sus archivos maliciosos en el sistema lo cual, en algunos casos, puede ser más fácil de detectar.

A pesar de que el código es simple, PowerWare es un enfoque novedoso para el ransomware, según los investigadores, lo que refleja una tendencia creciente de los autores de malware a pensar fuera de la caja para entregar ransomware.

Los investigadores de Carbon Black encontraron que PowerWare se entrega a través de un documento de Microsoft Word habilitado para macros que lanza dos instancias de PowerShell.

Una instancia descarga el script de ransomware y el otro toma la secuencia de comandos como entrada para ejecutar el código malicioso para cifrar archivos en el sistema de destino, y exigir el pago por su liberación.

Recuperando las claves de cifrado

En un giro interesante, PowerWare exige inicialmente un rescate de 500 dólares, pero esto aumenta a 1,000 si el rescate no se paga después de dos semanas.

El ransomware es cada vez más popular entre los delincuentes cibernéticos como una forma de hacer dinero, aumentando 26% en el último trimestre de 2015, en comparación con el trimestre anterior, según el informe de amenazas de McAfee Labs publicado el 22 de marzo de 2016.

Los investigadores de Carbon Black dijeron que las organizaciones que tienen sistemas instalados para la captura del paquete completo deben ser capaces de recuperar las claves de cifrado.

Los investigadores encontraron que, cuando PowerWare llama a sus servidores de control y comando, lo hace a través de un protocolo de texto sin formato, haciendo el tráfico fácil de observar.

Las organizaciones solo tienen que identificar el dominio correcto y la información IP del tráfico de red para recuperar la clave de cifrado, dijeron los investigadores.

Los usuarios de Carbon Black Enterprise Protection pueden bloquear el cmd.exe inicial por Word que lanza PowerShell con una norma que bloquea cmd.exe de ejecutarse cuando se inicia por winword.exe.

Ellos recomiendan cubrir otras aplicaciones de Microsoft Office –como Excel y PowerPoint– de forma similar, así como crear una regla para que los navegadores bloqueen estas aplicaciones de ejecutar PowerShell.

Desactive las macros en documentos de Office

El experto en seguridad e instructor del Instituto SANS, Ed Skoudis advirtió en la Conferencia RSA 2016 en San Francisco, que PowerShell ha sido totalmente convertido en arma en el último año.

De acuerdo con Andrew Komarov, director de inteligencia de la empresa de seguridad InfoArmor, PowerShell se utiliza no solo en ransomware, sino en muchas muestras de malware relacionado con espionaje cibernético.

"Proporciona una funcionalidad muy flexible para trabajar con el sistema operativo de la víctima, y ​​muchos malos actores utilizan escenarios basados ​​en comandos debido al alto nivel de posible ofuscación y polimorfismo, con el fin de evitar los controles de seguridad en los entornos basados ​​en Windows", dijo

Brian Laing, vicepresidente de productos de la empresa de seguridad Lastline, dijo que muy pocos usuarios necesitan el uso de macros en sus documentos de oficina.

"Los usuarios siempre deben deshabilitar las macros o, mejor aún, no abrir archivos con macros a menos que estén 100% seguros de que el archivo no es malicioso. Si reciben un archivo con macros y no están seguros, deben contactar a su departamento de TI para investigar el archivo. Los usuarios domésticos deberían simplemente eliminar el archivo y seguir adelante", dijo.

Tim McElwee, presidente del proveedor de servicios gestionados de seguridad Proficio, dijo que las empresas deben intensificar su vigilancia de los ataques de phishing, deshabilitar las macros, y respaldar sus sistemas.

"Esto se puede lograr internamente o a través de un proveedor de servicios de seguridad gestionada para seguridad con industrial-fuerza", dijo.

Próximos pasos

Más sobre ransomware:

Fraude de clics una entrada para el ransomware, advierte la firma Damballa

Aumentan los ataques de ransomware en América Latina

Exploit kits cambiantes y un mayor tráfico cifrado para ocultarlos, los mayores problemas de 2015

Este artículo se actualizó por última vez en abril 2016

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close