Conteúdo de Detecção: Ransomware FTCode

[post-views]
Agosto 10, 2020 · 2 min de leitura
Conteúdo de Detecção: Ransomware FTCode

Hoje, queremos chamar sua atenção para outro ransomware que tem como alvo usuários de língua italiana. Detectado pela primeira vez pelos pesquisadores em 2013, o FTCode é um ransomware baseado em PowerShell que é distribuído por meio de spam.

Nos ataques recentes, o ransomware FTCode foi entregue às máquinas das vítimas com um e-mail contendo um anexo que fingia ser uma fatura, formulário de inscrição, etc., contendo macros ou o arquivo de script VBS. Os usuários geralmente abrem a porta para o script malicioso ao ativar as macros ou ao experimentar o arquivo de script anexado. Quando o script PowerShell é lançado, o FTCode é baixado. Após receber o comando do seu servidor C&C, o ransomware não apenas criptografa o sistema, mas também rouba dados sensíveis do usuário, como credenciais de acesso, enviando-os para o servidor.

O conteúdo de detecção recentemente publicado pelo membro do Programa de Recompensas por Ameaças Emir Erdogan detecta o ransomware FTCode:

https://tdm.socprime.com/tdm/info/Q7oowPwEYKFt/vfYoyHMBQAH5UgbBiUJ3/

A regra tem traduções para as seguintes plataformas:

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Táticas: Impacto, Execução, Persistência, Escalada de Privilégios

Técnicas: Dados Criptografados para Impacto (T1486), Inibir Recuperação do Sistema (T1490), PowerShell (T1086), Tarefa Agendada (T1053)


Pronto para experimentar o SOC Prime TDM? Cadastre-se gratuitamente.

Or junte-se ao Programa de Recompensas por Ameaças para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.