検出コンテンツ: FTCode ランサムウェア

今日は、イタリア語を話すユーザーを標的とした別のランサムウェアに注目したいと思います。研究者が最初に発見したのは2013年に遡りますが、FTCodeはPowerShellベースのランサムウェアで、スパムを通じて配布されます。

最近の攻撃では、FTCodeランサムウェアが請求書、申請フォームなどを装った添付ファイルを含むメールで被害者のマシンに配信されました。この添付ファイルには通常、マクロやVBSスクリプトファイルが含まれています。ユーザーは通常、マクロを有効にすることで、あるいは添付されたスクリプトファイルを試すことで、悪意のあるスクリプトに対して扉を開きます。PowerShellスクリプトが起動されると、FTCodeがダウンロードされます。その後、C&Cサーバーからの指令を受けると、ランサムウェアはシステムを暗号化するだけでなく、ログイン情報などの機密データを盗み出し、サーバーに送信します。

Threat Bounty Programのメンバーによって最近投稿された検出コンテンツ エミル・エルドアン FTCodeランサムウェアを特定:

https://tdm.socprime.com/tdm/info/Q7oowPwEYKFt/vfYoyHMBQAH5UgbBiUJ3/

このルールは以下のプラットフォームに翻訳されています:

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint、Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

戦術: 影響、実行、永続性、権限昇格

技術: 影響に対するデータ暗号化 (T1486)、システム回復の妨害 (T1490)、PowerShell (T1086)、スケジュールされたタスク (T1053)

SOC Prime TDMを試してみませんか？ 無料で登録.

Or Threat Bounty Programに参加 独自のコンテンツを作成してTDMコミュニティと共有しましょう。