Erkennungsinhalt: FTCode Ransomware

Heute möchten wir Ihre Aufmerksamkeit auf eine weitere Ransomware lenken, die auf Italienisch sprechende Nutzer abzielt. Erstmals von Forschern im Jahr 2013 entdeckt, ist FTCode eine auf PowerShell basierende Ransomware, die über Spam verteilt wird.

Bei den jüngsten Angriffen wurde die FTCode-Ransomware über eine E-Mail an die Opfermaschinen zugestellt, die einen Anhang enthält, der vorgibt, eine Rechnung, ein Antragsformular usw. zu sein, wobei Makros oder die VBS-Skriptdatei enthalten sind. Benutzer öffnen in der Regel die Tür für das bösartige Skript, indem sie die Makros aktivieren oder die angehängte Skriptdatei ausprobieren. Wenn das PowerShell-Skript gestartet wird, wird FTCode heruntergeladen. Nach dem Empfang des Befehls von seinem C&C-Server verschlüsselt die Ransomware nicht nur das System, sondern stiehlt auch sensible Benutzerdaten wie Anmeldeinformationen und sendet sie an den Server.

Der kürzlich gepostete Erkennungsinhalt von einem Mitglied des Threat Bounty Programms Emir Erdogan erkennt die FTCode-Ransomware:

https://tdm.socprime.com/tdm/info/Q7oowPwEYKFt/vfYoyHMBQAH5UgbBiUJ3/

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Taktiken: Impact, Execution, Persistence, Privilege Escalation

Techniken: Daten verschlüsselt zum Zwecke der Auswirkung (T1486), Systemwiederherstellung verhindern (T1490), PowerShell (T1086), Geplante Aufgabe (T1053)

Bereit, SOC Prime TDM auszuprobieren? Melden Sie sich kostenlos an.

Or treten Sie dem Threat Bounty Programm bei um Ihre eigenen Inhalte zu erstellen und mit der TDM-Community zu teilen.