Conteúdo de Detecção: Ransomware FTCode

Hoje, queremos chamar sua atenção para outro ransomware que tem como alvo usuários de língua italiana. Detectado pela primeira vez pelos pesquisadores em 2013, o FTCode é um ransomware baseado em PowerShell que é distribuído por meio de spam.

Nos ataques recentes, o ransomware FTCode foi entregue às máquinas das vítimas com um e-mail contendo um anexo que fingia ser uma fatura, formulário de inscrição, etc., contendo macros ou o arquivo de script VBS. Os usuários geralmente abrem a porta para o script malicioso ao ativar as macros ou ao experimentar o arquivo de script anexado. Quando o script PowerShell é lançado, o FTCode é baixado. Após receber o comando do seu servidor C&C, o ransomware não apenas criptografa o sistema, mas também rouba dados sensíveis do usuário, como credenciais de acesso, enviando-os para o servidor.

O conteúdo de detecção recentemente publicado pelo membro do Programa de Recompensas por Ameaças Emir Erdogan detecta o ransomware FTCode:

https://tdm.socprime.com/tdm/info/Q7oowPwEYKFt/vfYoyHMBQAH5UgbBiUJ3/

A regra tem traduções para as seguintes plataformas:

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Táticas: Impacto, Execução, Persistência, Escalada de Privilégios

Técnicas: Dados Criptografados para Impacto (T1486), Inibir Recuperação do Sistema (T1490), PowerShell (T1086), Tarefa Agendada (T1053)

Pronto para experimentar o SOC Prime TDM? Cadastre-se gratuitamente.

Or junte-se ao Programa de Recompensas por Ameaças para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.