Ransomware FunkSec

Výzkumníci v oblasti kybernetické bezpečnosti nedávno odhalili FunkSec, rodinu ransomwaru s podporou umělé inteligence, která se objevila koncem roku 2024. Přestože je tato skupina relativně nová, postihla již více než 85 obětí v různých zemích. Jejich operace kombinují krádež dat se šifrováním v rámci schématu dvojitého vydírání, ale to, co je odlišuje, jsou neobvykle nízké požadavky na výkupné, někdy až 10 000 dolarů. FunkSec se nespoléhá pouze na platby výkupného, ale také prodává ukradená data za zvýhodněné ceny.

Rozšíření provozu prostřednictvím centrálního uzlu

V prosinci 2024 spustila společnost FunkSec vlastní web pro úniky dat (DLS), který centralizuje všechny její aktivity. Platforma hostuje oznámení o únicích dat, vlastní distribuovaný nástroj pro odmítnutí služby (DDoS) a nabídku ransomwaru na míru skupiny v rámci modelu Ransomware-as-a-Service (RaaS). Tato infrastruktura zdůrazňuje snahy společnosti FunkSec vybudovat si důvěryhodnost v kyberzločineckém undergroundu.

Globální dosah, začínající herci

Oběti se nacházejí především v USA, Indii, Itálii, Brazílii, Izraeli, Španělsku a Mongolsku. Navzdory rychlé expanzi analýzy naznačují, že FunkSec může být dílem relativně nezkušených operátorů. Zdá se, že skupina recykluje data ze starších úniků hackerů ve snaze posílit svou reputaci.

Je zajímavé, že FunkSec slouží také jako zprostředkovatelská služba pro data a nabízí kradené informace zájemcům o koupi za 1 000 až 5 000 dolarů. Tato dvojí role dále stírá hranici mezi kyberkriminalitou a hacktivismem.

Politické vazby a propojení s hacktivisty

Skupina se pokoušela spojit s hnutím „Svobodná Palestina“ a zároveň odkazovala na dnes již neexistující hacktivistické kolektivy jako Ghost Algeria a Cyb3r Fl00d. Někteří členové FunkSec také projevují přímé hacktivistické tendence, což posiluje pokračující konvergenci mezi politickým aktivismem, organizovanou kyberkriminalitou a operacemi ve stylu národních států.

Klíčové postavy FunkSec

Výzkumníci identifikovali několik významných osob spojených s FunkSec:

• Scorpion (aka DesertStorm) – herec z Alžírska, který skupinu propaguje na undergroundových fórech, jako je Breached Forum.
• El_farado – Po vyloučení DesertStormu z Breached Forum se stal hlavním promotérem.
• XTN – Předpokládá se, že spravuje neznámou službu „třídění dat“.
• Blako – Často zmiňován po boku El_farada hrou DesertStorm.
• Bjorka – indonéská hacktivistka, jejíž alias byl spojován s úniky FunkSec na DarkForums, ať už jako kolaborantka nebo jako pokus o vydávání se za jinou osobu.

Nástroje a techniky řízené umělou inteligencí

Sada nástrojů FunkSec přesahuje rámec ransomwaru a zahrnuje nástroje pro správu vzdálené plochy (JQRAXY_HVNC), generování hesel (funkgenerate) a DDoS útoky. Výzkumníci se domnívají, že vývoj jejich šifrovacího nástroje pro ransomware a souvisejících nástrojů byl podpořen umělou inteligencí, což umožňuje rychlou iteraci i přes omezené technické znalosti.

Nejnovější verze, FunkSec V1.5, je napsána v Rustu. Starší varianty, nahrané převážně z Alžírska, obsahovaly odkazy na FunkLocker a Ghost Algeria, což naznačuje alžírskou vazbu na hlavního vývojáře.

Technické chování malwaru

Po spuštění je ransomware FunkSec nakonfigurován tak, aby:

• Zvyšovat oprávnění.
• Zakažte bezpečnostní ovládací prvky.
• Odstraňte zálohy stínových kopií.
• Ukončete pevně zakódovaný seznam procesů a služeb.
• Rekurzivně šifrovat soubory ve všech adresářích.

Tento operační řetězec podtrhuje jejich schopnost narušovat systémy i přes jejich začátečnické zázemí.

Rozmazaná hranice mezi ideologií a ziskem

Rok 2024 znamenal významný nárůst ransomwarových operací po celém světě, přičemž geopolitické konflikty dále podněcovaly aktivitu hackerů. FunkSec ztělesňuje tuto znepokojivou směs politické rétoriky a finanční motivace a v prosinci 2024 se etablovala jako jedna z nejaktivnějších ransomwarových skupin. I když si jejich závislost na umělé inteligenci a recyklovaných únicích informací získala pozornost, dlouhodobý úspěch jejich kampaně zůstává nejistý.