Hoje, queremos chamar sua atenção para outro ransomware que tem como alvo usuários de língua italiana. Detectado pela primeira vez pelos pesquisadores em 2013, o FTCode é um ransomware baseado em PowerShell que é distribuído por meio de spam.
Nos ataques recentes, o ransomware FTCode foi entregue às máquinas das vítimas com um e-mail contendo um anexo que fingia ser uma fatura, formulário de inscrição, etc., contendo macros ou o arquivo de script VBS. Os usuários geralmente abrem a porta para o script malicioso ao ativar as macros ou ao experimentar o arquivo de script anexado. Quando o script PowerShell é lançado, o FTCode é baixado. Após receber o comando do seu servidor C&C, o ransomware não apenas criptografa o sistema, mas também rouba dados sensíveis do usuário, como credenciais de acesso, enviando-os para o servidor.
O conteúdo de detecção recentemente publicado pelo membro do Programa de Recompensas por Ameaças Emir Erdogan detecta o ransomware FTCode:
https://tdm.socprime.com/tdm/info/Q7oowPwEYKFt/vfYoyHMBQAH5UgbBiUJ3/
A regra tem traduções para as seguintes plataformas:
SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Táticas: Impacto, Execução, Persistência, Escalada de Privilégios
Técnicas: Dados Criptografados para Impacto (T1486), Inibir Recuperação do Sistema (T1490), PowerShell (T1086), Tarefa Agendada (T1053)
Pronto para experimentar o SOC Prime TDM? Cadastre-se gratuitamente.
Or junte-se ao Programa de Recompensas por Ameaças para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.
