Contenu de Détection : Rançongiciel FTCode

Aujourd’hui, nous voulons attirer votre attention sur un autre ransomware ciblant les utilisateurs italophones. Repéré pour la première fois par les chercheurs en 2013, FTCode est un ransomware basé sur PowerShell distribué via du spam.

Dans les attaques récentes, le ransomware FTCode a été envoyé aux machines victimes par un email contenant une pièce jointe prétendant être une facture, un formulaire de demande, etc., contenant des macros, ou le fichier script VBS. Les utilisateurs ouvrent généralement la porte au script malveillant en activant les macros, ou en essayant le fichier script joint. Lorsque le script PowerShell est lancé, FTCode est téléchargé. Après avoir reçu la commande de son serveur C&C, le ransomware non seulement chiffre le système, mais vole également les données sensibles de l’utilisateur telles que les identifiants de connexion, et les envoie au serveur.

Le contenu de détection récemment publié par le membre du Programme Threat Bounty Emir Erdogan identifie le ransomware FTCode :

https://tdm.socprime.com/tdm/info/Q7oowPwEYKFt/vfYoyHMBQAH5UgbBiUJ3/

La règle a des traductions pour les plateformes suivantes :

SIEM : ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio

EDR : Carbon Black, Elastic Endpoint

MITRE ATT&CK : 

Tactiques : Impact, Exécution, Persistance, Escalade de Privilèges

Techniques : Données chiffrées pour impact (T1486), Inhibition de la récupération système (T1490), PowerShell (T1086), Tâche planifiée (T1053)

Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement.

Or rejoignez le Programme Threat Bounty pour créer votre propre contenu et le partager avec la communauté TDM.