FunkSec Ransomware
Cybersikkerhedsforskere har for nylig afdækket FunkSec, en AI-assisteret ransomware-familie, der dukkede op i slutningen af 2024. Selvom gruppen er relativt ny, har den allerede påvirket mere end 85 ofre i flere lande. Deres operationer kombinerer datatyveri med kryptering i en dobbelt afpresningsordning, men det, der adskiller dem, er deres usædvanligt lave krav om løsesum, nogle gange så lidt som $10.000. I stedet for udelukkende at stole på løsesumsbetalinger sælger FunkSec også stjålne data til nedsatte priser.
Indholdsfortegnelse
Udvidelse af driften gennem et centralt knudepunkt
I december 2024 lancerede FunkSec sit eget datalækagesite (DLS), der centraliserer alle sine aktiviteter. Platformen er vært for meddelelser om brud, et brugerdefineret distribueret denial-of-service (DDoS)-værktøj og gruppens skræddersyede ransomware-tilbud som en del af en Ransomware-as-a-Service (RaaS)-model. Denne infrastruktur fremhæver FunkSecs forsøg på at opbygge troværdighed i den cyberkriminelle undergrund.
Global rækkevidde, nye skuespillere
Ofrene befinder sig primært i USA, Indien, Italien, Brasilien, Israel, Spanien og Mongoliet. Trods deres hurtige ekspansion tyder analyser på, at FunkSec kan være et resultat af relativt uerfarne operatører. Gruppen ser ud til at genbruge data fra ældre hacktivist-lækager i et forsøg på at styrke sit omdømme.
Interessant nok fungerer FunkSec også som en datamæglertjeneste, der tilbyder stjålne oplysninger til interesserede købere for $1.000 til $5.000. Denne dobbeltrolle udvisker yderligere grænsen mellem cyberkriminalitet og hacktivisme.
Politiske bånd og hacktivist-forbindelser
Gruppen har forsøgt at alliere sig med 'Free Palestine'-bevægelsen, mens de har henvist til nu nedlagte hacktivist-kollektiver som Ghost Algeria og Cyb3r Fl00d. Nogle medlemmer af FunkSec viser også direkte hacktivistiske tendenser, hvilket forstærker den igangværende konvergens mellem politisk aktivisme, organiseret cyberkriminalitet og operationer i nationalstatsstil.
Nøglefigurer bag FunkSec
Forskere har identificeret flere fremtrædende personer med forbindelse til FunkSec:
- Scorpion (også kendt som DesertStorm) – En skuespiller fra Algeriet, der promoverer gruppen på undergrundsfora som Breached Forum.
- El_farado – Fremstod som en primær promotor efter at DesertStorm blev udelukket fra Breached Forum.
- XTN – Menes at administrere en ukendt 'datasorterings'-tjeneste.
- Blako – Ofte nævnt sammen med El_farado af DesertStorm.
AI-drevne værktøjer og teknikker
FunkSecs værktøjssæt rækker ud over ransomware og omfatter værktøjer til fjernskrivebordsadministration (JQRAXY_HVNC), generering af adgangskoder (funkgenerate) og DDoS-angreb. Forskere mener, at udviklingen af deres ransomware-krypteringsprogram og relaterede værktøjer blev hjulpet af AI, hvilket muliggjorde hurtig iteration på trods af begrænset teknisk ekspertise.
Den seneste version, FunkSec V1.5, er skrevet i Rust. Tidligere varianter, primært uploadet fra Algeriet, indeholdt referencer til FunkLocker og Ghost Algeria, hvilket antyder en algerisk forbindelse til kerneudvikleren.
Malwarens tekniske opførsel
Når FunkSec ransomware udføres, er den konfigureret til at:
- Optrap privilegier.
- Deaktiver sikkerhedskontroller.
- Slet skyggekopierede sikkerhedskopier.
- Afslut en hardkodet liste over processer og tjenester.
- Krypter filer rekursivt på tværs af alle mapper.
Denne operationelle kæde understreger deres evne til at forstyrre systemer på trods af deres nybegynderbaggrund.
En sløret linje mellem ideologi og profit
Året 2024 markerede en betydelig vækst for ransomware-operationer globalt, hvor geopolitiske konflikter yderligere nærede hacktivist-aktiviteten. FunkSec legemliggør denne foruroligende blanding af politisk retorik og økonomisk motivation og etablerede sig som en af de mest aktive ransomware-grupper i december 2024. Selvom deres afhængighed af AI og genbrugte lækager har vakt dem opmærksomhed, er den langsigtede succes af deres kampagne fortsat usikker.
