Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Ransomware Ransomware FunkSec

Ransomware FunkSec

El Mezo el Ransomware
Traduir a:

Investigadors de ciberseguretat han descobert recentment FunkSec, una família de ransomware assistit per IA que va aparèixer a finals del 2024. Tot i ser relativament nou, el grup ja ha afectat més de 85 víctimes en diversos països. Les seves operacions combinen el robatori de dades amb el xifratge en un esquema de doble extorsió, però el que els diferencia són les seves demandes de rescat inusualment baixes, de vegades tan sols 10.000 dòlars. En lloc de dependre únicament dels pagaments de rescat, FunkSec també ven dades robades a preus rebaixats.

Expansió de les operacions a través d’un centre de distribució

El desembre de 2024, FunkSec va llançar el seu propi lloc web de filtracions de dades (DLS), centralitzant totes les seves activitats. La plataforma allotja anuncis de filtracions, una eina de denegació de servei distribuïda (DDoS) personalitzada i l'oferta de ransomware a mida del grup com a part d'un model de ransomware com a servei (RaaS). Aquesta infraestructura destaca els intents de FunkSec per generar credibilitat en el món clandestí de la ciberdelinqüència.

Abast global, actors novells

Les víctimes es troben principalment als Estats Units, l'Índia, Itàlia, el Brasil, Israel, Espanya i Mongòlia. Malgrat la seva ràpida expansió, les anàlisis suggereixen que FunkSec pot ser obra d'operadors relativament inexperts. El grup sembla reciclar dades de filtracions d'activistes hackistes més antigues en un intent de millorar la seva reputació.

Curiosament, FunkSec també funciona com a servei de corretatge de dades, oferint informació robada a compradors interessats per entre 1.000 i 5.000 dòlars. Aquest doble paper desdibuixa encara més la línia entre la ciberdelinqüència i el hacktivisme.

Vincles polítics i vincles hacktivistes

El grup ha intentat alinear-se amb el moviment "Palestina Lliure" tot fent referència a col·lectius hacktivistes ara desapareguts com ara Ghost Algeria i Cyb3r Fl00d. Alguns membres de FunkSec també mostren tendències hacktivistes directes, cosa que reforça la convergència contínua entre l'activisme polític, la ciberdelinqüència organitzada i les operacions d'estil estat-nació.

Figures clau darrere de FunkSec

Els investigadors han identificat diverses persones prominents relacionades amb FunkSec:

  • Scorpion (també conegut com DesertStorm): un actor amb seu a Algèria que promociona el grup en fòrums clandestins com el Breached Forum.
  • El_farado – Va emergir com a promotor principal després que DesertStorm fos prohibit del Breached Forum.
  • XTN – Es creu que gestiona un servei de "classificació de dades" desconegut.
  • Blako – Esmentat sovint juntament amb El_farado per DesertStorm.
  • Bjorka – Una hacktivista indonèsia l'àlies de la qual s'ha relacionat amb les filtracions de FunkSec a DarkForums, ja sigui com a col·laboradora o com a intent d'impersonació.

Eines i tècniques basades en IA

El conjunt d'eines de FunkSec va més enllà del ransomware, incloent-hi utilitats per a la gestió remota d'escriptoris (JQRAXY_HVNC), la generació de contrasenyes (funkgenerate) i els atacs DDoS. Els investigadors creuen que el desenvolupament del seu xifratge de ransomware i les eines relacionades va ser assistit per la IA, permetent una iteració ràpida malgrat l'experiència tècnica limitada.

La darrera versió, FunkSec V1.5, està escrita en Rust. Les variants anteriors, carregades principalment des d'Algèria, contenien referències a FunkLocker i Ghost Algèria, cosa que suggereix un vincle algerià amb el desenvolupador principal.

Comportament tècnic del programari maliciós

Quan s'executa, el ransomware FunkSec es configura per:

  • Escalar privilegis.
  • Desactiva els controls de seguretat.
  • Suprimeix les còpies de seguretat de còpies ombra.
  • Finalitza una llista codificada de processos i serveis.
  • Xifra recursivament els fitxers a tots els directoris.

Aquesta cadena operativa subratlla la seva capacitat per interrompre sistemes malgrat els seus antecedents de novells.

Una línia borrosa entre ideologia i benefici

L'any 2024 va marcar un creixement significatiu de les operacions de ransomware a nivell mundial, amb conflictes geopolítics que van alimentar encara més l'activitat hacktivista. FunkSec encarna aquesta barreja preocupant de retòrica política i motivació financera, establint-se com un dels grups de ransomware més actius el desembre de 2024. Si bé la seva dependència de la IA i les filtracions reciclades els ha cridat l'atenció, l'èxit a llarg termini de la seva campanya continua sent incert.

Articles Relacionats

Tendència

Més vist

Carregant...