Nuevo ransomware que emplea la interfaz PowerShell de Windows
Siguen desarrollándose nuevas formas de ransomware: esta vez, los objetivos de los hackers son las compañías con atención especial a los hospitales.
Siguen desarrollándose nuevas formas de ransomware: esta vez, los objetivos de los hackers son las compañías con atención especial a los hospitales. Para ello, los cibercriminales han desarrollado un ransomware escrito completamente en Windows PowerShell que emplea correos con documentos Word adjuntos.
PowerShell es una interfaz de consola que permite gestionar la configuración y automatización de tareas, normalmente utilizada por los administradores de los usuarios Windows; además, cuenta con su propio lenguaje de programación, el cual ya ha sido utilizado con anterioridad para crear sofisticados malwares.
El ransomware, descubierto por investigadores de la compañía de seguridad Carbon Black, se ha apodado PowerWare, y se sabe que se distribuye mediante phishing en emails con documentos Word: el archivo malicioso da instrucciones para que el documento de Word se abra, y más tarde exige al usuario que habilite la edición del documento para poder leerlo. Lo que los usuarios desconocen es que en realidad con esta acción se desactiva la opción de visualización de Word y permite que se ejecute el código integrado (que los programas Office bloquean por norma).
Después de este paso mortal para el dispositivo, el ransomware abre el comando de Windows (cmd.exe) y lanza dos tareas de PowerShell: una de ellas descarga el virus PowerWare desde un servidor remoto presentado como un script de PowerShell, mientras que la otra tarea lo ejecuta.
A partir de este momento, el ransomware se propaga como habitualmente, encriptando todo los archivos y exigiendo un pago por el secuestro que comienza en 500 dólares y sube a 1.000 dólares después de un par de semanas. No es el primer caso de ransomware que se aprovecha de la interfaz de Windows, ya en 2013 apareció un programa malicioso procedente de Rusia o en 2015 un ransomware que utilizaba el logo de “Los Pollos Hermanos”, de la serie de televisión Breaking Bad. Eso sí, si es la primera vez que tiene como objetivo primordial centros sanitarios.
