今日は、イタリア語を話すユーザーを標的とした別のランサムウェアに注目したいと思います。研究者が最初に発見したのは2013年に遡りますが、FTCodeはPowerShellベースのランサムウェアで、スパムを通じて配布されます。
最近の攻撃では、FTCodeランサムウェアが請求書、申請フォームなどを装った添付ファイルを含むメールで被害者のマシンに配信されました。この添付ファイルには通常、マクロやVBSスクリプトファイルが含まれています。ユーザーは通常、マクロを有効にすることで、あるいは添付されたスクリプトファイルを試すことで、悪意のあるスクリプトに対して扉を開きます。PowerShellスクリプトが起動されると、FTCodeがダウンロードされます。その後、C&Cサーバーからの指令を受けると、ランサムウェアはシステムを暗号化するだけでなく、ログイン情報などの機密データを盗み出し、サーバーに送信します。
Threat Bounty Programのメンバーによって最近投稿された検出コンテンツ エミル・エルドアン FTCodeランサムウェアを特定:
https://tdm.socprime.com/tdm/info/Q7oowPwEYKFt/vfYoyHMBQAH5UgbBiUJ3/
このルールは以下のプラットフォームに翻訳されています:
SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint、Humio
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
戦術: 影響、実行、永続性、権限昇格
技術: 影響に対するデータ暗号化 (T1486)、システム回復の妨害 (T1490)、PowerShell (T1086)、スケジュールされたタスク (T1053)
SOC Prime TDMを試してみませんか? 無料で登録.
Or Threat Bounty Programに参加 独自のコンテンツを作成してTDMコミュニティと共有しましょう。
