Hoy, queremos llamar su atención sobre otro ransomware dirigido a usuarios de habla italiana. Observado por primera vez por los investigadores en 2013, FTCode es un ransomware basado en PowerShell que se distribuye a través de spam.
En los ataques recientes, el ransomware FTCode se entregó a las máquinas víctimas por medio de un correo electrónico con un archivo adjunto que pretendía ser una factura, formulario de solicitud, etc., que contenía macros, o el archivo de script VBS. Los usuarios generalmente abren la puerta al script malicioso habilitando las macros o probando el archivo de script adjunto. Cuando se lanza el script de PowerShell, se descarga FTCode. Después de recibir el comando de su servidor C&C, el ransomware no solo cifra el sistema, sino que también roba datos sensibles del usuario, como credenciales de inicio de sesión, y los envía al servidor.
El contenido de detección publicado recientemente por el miembro del Programa de Recompensas por Amenazas Emir Erdogan detecta el ransomware FTCode:
https://tdm.socprime.com/tdm/info/Q7oowPwEYKFt/vfYoyHMBQAH5UgbBiUJ3/
La regla tiene traducciones para las siguientes plataformas:
SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Tácticas: Impacto, Ejecución, Persistencia, Escalada de Privilegios
Técnicas: Datos Cifrados para Impacto (T1486), Inhibir Recuperación del Sistema (T1490), PowerShell (T1086), Tarea Programada (T1053)
¿Listo para probar SOC Prime TDM? Regístrate gratis.
Or únete al Programa de Recompensas por Amenazas para crear tu propio contenido y compartirlo con la comunidad de TDM.
