Contenido de Detección: Ransomware FTCode

[post-views]
agosto 10, 2020 · 2 min de lectura
Contenido de Detección: Ransomware FTCode

Hoy, queremos llamar su atención sobre otro ransomware dirigido a usuarios de habla italiana. Observado por primera vez por los investigadores en 2013, FTCode es un ransomware basado en PowerShell que se distribuye a través de spam.

En los ataques recientes, el ransomware FTCode se entregó a las máquinas víctimas por medio de un correo electrónico con un archivo adjunto que pretendía ser una factura, formulario de solicitud, etc., que contenía macros, o el archivo de script VBS. Los usuarios generalmente abren la puerta al script malicioso habilitando las macros o probando el archivo de script adjunto. Cuando se lanza el script de PowerShell, se descarga FTCode. Después de recibir el comando de su servidor C&C, el ransomware no solo cifra el sistema, sino que también roba datos sensibles del usuario, como credenciales de inicio de sesión, y los envía al servidor.

El contenido de detección publicado recientemente por el miembro del Programa de Recompensas por Amenazas Emir Erdogan detecta el ransomware FTCode:

https://tdm.socprime.com/tdm/info/Q7oowPwEYKFt/vfYoyHMBQAH5UgbBiUJ3/

La regla tiene traducciones para las siguientes plataformas:

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tácticas: Impacto, Ejecución, Persistencia, Escalada de Privilegios

Técnicas: Datos Cifrados para Impacto (T1486), Inhibir Recuperación del Sistema (T1490), PowerShell (T1086), Tarea Programada (T1053)


¿Listo para probar SOC Prime TDM? Regístrate gratis.

Or únete al Programa de Recompensas por Amenazas para crear tu propio contenido y compartirlo con la comunidad de TDM.

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.