Contenuto di Rilevamento: Ransomware FTCode

Oggi, vogliamo attirare la vostra attenzione su un altro ransomware che prende di mira gli utenti di lingua italiana. Individuato per la prima volta dai ricercatori nel 2013, FTCode è un ransomware basato su PowerShell distribuito tramite spam.

Negli attacchi recenti, il ransomware FTCode è stato consegnato ai computer delle vittime con un’email contenente un allegato che fingeva di essere una fattura, modulo di domanda, ecc. contenente macro, o il file script VBS. Gli utenti di solito aprono la porta allo script dannoso abilitando le macro, o provano il file script allegato. Quando lo script PowerShell viene lanciato, FTCode viene scaricato. Dopo aver ricevuto il comando dal suo server C&C, il ransomware non solo cripta il sistema, ma ruba anche i dati sensibili dell’utente come le credenziali di accesso, e li invia al server.

Il contenuto di rilevamento recentemente pubblicato dal membro del Threat Bounty Program Emir Erdogan identifica il ransomware FTCode:

https://tdm.socprime.com/tdm/info/Q7oowPwEYKFt/vfYoyHMBQAH5UgbBiUJ3/

La regola ha traduzioni per le seguenti piattaforme:

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tattiche: Impatto, Esecuzione, Persistenza, Escalation dei Privilegi

Tecniche: Dati Cifrati per l’Impatto (T1486), Inibire il Recupero del Sistema (T1490), PowerShell (T1086), Attività Pianificata (T1053)

Pronto per provare SOC Prime TDM? Iscriviti gratuitamente.

Or unisciti al Threat Bounty Program per creare i tuoi contenuti e condividerli con la comunità TDM.