{"id":704,"date":"2016-03-30T11:39:46","date_gmt":"2016-03-30T16:39:46","guid":{"rendered":"https:\/\/cert.pa\/?p=704"},"modified":"2016-04-06T14:04:51","modified_gmt":"2016-04-06T19:04:51","slug":"powerware-ransomware-sin-archivos-ejecutables","status":"publish","type":"post","link":"https:\/\/cert.pa\/?p=704","title":{"rendered":"Powerware, Ransomware sin archivos ejecutables"},"content":{"rendered":"

CSIRT Panam\u00e1 Aviso 2016-01- Powerware, Ransomware sin archivos ejecutables
\nGravedad: ALTA
\nFecha de publicaci\u00f3n: Marzo 30, 2016
\nFecha de modificaci\u00f3n: Marzo 30, 2016
\n\u00daltima revisi\u00f3n: Revisi\u00f3n A.
\nFuente: CarbonBlack<\/b><\/p>\n

I. Sistemas Afectados
\nTodos los sistemas operativos Microsoft Windows, desde XP en adelante, incluyendo las versiones empresariales para servidores.<\/p>\n

II. Descripci\u00f3n
\nPowerware es el nombre de una nueva variante de Ransomware que debe su nombre por utilizar PowerShell para realizar la descarga y ejecuci\u00f3n de un script malicioso.
\nLo que realmente distingue a Powerware de otros Ransomware es que no posee archivos ejecutables, una t\u00e1ctica adoptada por otras familias de c\u00f3digo malicioso utilizadas en exploit kits tal como lo es Angler.
\nPowerware se propaga a trav\u00e9s de estafas de fraude v\u00eda correo electr\u00f3nico, que incluyen consigo un adjunto en Microsoft Word, este archivo solicita al usuario habilitar la ejecuci\u00f3n de macros bajo la excusa de no poder visualizarse correctamente el documento. Una vez habilitado, el macro abre cmd.exe que luego ejecuta PowerShell, el framework de Windows que administra tareas. Al usar PowerShell se evita que se escriban archivos al disco y permite confundir el c\u00f3digo malicioso con actividad leg\u00edtima en la m\u00e1quina infectada seg\u00fan se\u00f1alan los investigadores de seguridad que lo descubrieron. El programa que realmente realiza el cifrado de los archivos secuestrados es PowerShell a trav\u00e9s del script malicioso que se ejecuta dentro de s\u00ed, sin necesidad de archivos ejecutables adicionales como sucede con las infecciones tradicionales. Para que el usuario descifre y recupere los archivos secuestrados, el Ransomware solicita $500 para el intercambio de la llave criptogr\u00e1fica y despu\u00e9s de dos semanas de infecci\u00f3n solicita hasta $1,000.<\/p>\n

\n

III. Impacto<\/p>\n

Vector de acceso: Remoto, mediante ejecuci\u00f3n de macros en documento Word adjunto en correo electr\u00f3nico fraudulento.
\nComplejidad de Acceso: Media
\nAutenticaci\u00f3n: Se requieren permisos de ejecuci\u00f3n de macros.
\nTipo de impacto: Compromiso parcial o total de la integridad de los datos personales del usuario.<\/p>\n

IV. Detecci\u00f3n<\/p>\n

Powerware suele propagarse por correos electr\u00f3nicos fraudulentos (cuyo origen y\/o contexto sea sospechoso y desconocido), que contienen un documento \u201cinvoice\u201d en formato Word adjunto. En las siguientes im\u00e1genes se presenta la captura de pantalla del adjunto.<\/p>\n

\"powerware-ransomware-0\"<\/a>

Documento de MS Word solicita la habilitaci\u00f3n de macros<\/p><\/div>\n

\"powerware-ransomware-1\"<\/a>

Pantalla despu\u00e9s de la infecci\u00f3n por Powerware<\/p><\/div>\n

V. Mitigaci\u00f3n<\/p>\n

Generalmente los Ransomware utilizan mecanismos de cifrado no reversibles. La mayor\u00eda de las veces no existen mecanismos para descifrar los archivos sin la clave que est\u00e1 en poder de los atacantes. Las siguientes recomendaciones buscan brindar al lector opciones para evitar ser v\u00edctimas de \u00e9ste tipo de c\u00f3digo malicioso.<\/p>\n

    \n
  • Evitar abrir archivos adjuntos o enlaces de Internet de procedencia sospechosa o desconocida. Tambi\u00e9n pueden ocurrir casos donde se reciben correos maliciosos de contactos conocidos (donde ocurre una falsificaci\u00f3n de identidad), por lo que se recomienda confirmar con la fuente si en verdad envi\u00f3 el adjunto, esto se debe realizar en persona\/tel\u00e9fono o en un correo aparte del recibido, ya que al responder un correo malicioso con identidad falsificada la respuesta se redirigir\u00eda al atacante y no al verdadero usuario del correo.<\/li>\n
  • Evitar abrir enlaces sospechosos en Internet. Antes de hacer click en un enlace se puede revisar hacia d\u00f3nde redirige solamente colocando el mouse sobre el enlace sin hacer click y se mostrar\u00e1 en pantalla o en la parte inferior el verdadero enlace de la p\u00e1gina.<\/li>\n
  • Deshabilitar la ejecuci\u00f3n de macros en archivos Microsoft Office y solo ejecutar macros cuyo origen sea de confianza.<\/li>\n
  • Realizar respaldos frecuentes y almacenarlos en discos duros sin acceso a Internet o a la red, ya que al infectar una m\u00e1quina con acceso a un servidor se pueden cifrar tambi\u00e9n archivos del servidor.<\/li>\n
  • Activar Shadow Volume Copies con la funcionalidad Restaurar Sistema de Windows en las m\u00e1quinas importantes.<\/li>\n
  • Actualizar herramientas anti-virus y anti-malware, y correr escaneos de forma regular.<\/li>\n
  • Implementar pol\u00edticas de filtrado de correo por el tipo de extensi\u00f3n de los archivos adjuntos. Se deben bloquear todos los adjuntos con extensiones .exe y .scr. Algunas variantes tambi\u00e9n pueden venir en archivos de extensi\u00f3n .cab.<\/li>\n
  • Monitoreo constante de la actividad de conexi\u00f3n de los equipos en red para detectar alg\u00fan comportamiento o tr\u00e1fico inusual.<\/li>\n<\/ul>\n

    Todo el personal funcionario de la instituci\u00f3n que utilice computadora personal, laptop, celular, tableta y\/o cualquier dispositivo que le permita tener acceso al servicio de correo e Internet debe estar informado y capacitado en las campa\u00f1as de concienciaci\u00f3n sobre las infecciones de c\u00f3digo malicioso, los correos sospechosos, correos fraudulentos, enlaces acortados y temas relacionados, para evitar que mediante ingenier\u00eda social y falsificaci\u00f3n de identidad sean v\u00edctimas de un ataque por correo electr\u00f3nico.<\/p>\n

    VI. Referencia a soluciones, herramientas e informaci\u00f3n<\/p>\n

      \n
    • https:\/\/www.carbonblack.com\/2016\/03\/25\/threat-alert-powerware-new-ransomware-written-in-powershell-targets-organizations-via-microsoft-word\/<\/li>\n
    • https:\/\/threatpost.com\/fileless-powerware-ransomware-found-on-healthcare-network-\/116998\/<\/li>\n<\/ul>\n

      V. Informaci\u00f3n de contacto<\/p>\n

      CSIRT PANAMA
      \nComputer Security Incident Response Team Autoridad Nacional para la
      \nInnovacion Gubernamental
      \nE-Mail: info@cert.pa
      \nPhone: +507 520-CERT (2378)
      \nWeb: https:\/\/www.cert.pa
      \nTwitter: @CSIRTPanama
      \nFacebook: http:\/\/www.facebook.com\/CSIRTPanama
      \nKey ID: 16F2B124<\/p>\n","protected":false},"excerpt":{"rendered":"

      CSIRT Panam\u00e1 Aviso 2016-01- Powerware, Ransomware sin archivos ejecutables Gravedad: ALTA Fecha de publicaci\u00f3n: Marzo 30, 2016 Fecha de modificaci\u00f3n: Marzo 30, 2016 \u00daltima revisi\u00f3n: Revisi\u00f3n A. Fuente: CarbonBlack I. Sistemas Afectados Todos los sistemas…<\/p>\n","protected":false},"author":4,"featured_media":594,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false,"footnotes":""},"categories":[4],"tags":[69,30],"class_list":["post-704","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-avisos-de-seguridad","tag-powerware","tag-ransomware"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/704","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=704"}],"version-history":[{"count":7,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/704\/revisions"}],"predecessor-version":[{"id":716,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/704\/revisions\/716"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/media\/594"}],"wp:attachment":[{"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=704"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=704"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=704"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}