FunkSec lunavara
Küberturvalisuse uurijad avastasid hiljuti FunkSeci, tehisintellektil põhineva lunavara perekonna, mis ilmus 2024. aasta lõpus. Vaatamata suhteliselt uuele tegevusele on see rühmitus juba mõjutanud enam kui 85 ohvrit mitmes riigis. Nende tegevus ühendab andmevarguse krüpteerimisega topeltväljapressimise skeemis, kuid see, mis neid eristab, on ebatavaliselt madalad lunaraha nõudmised, mõnikord vaid 10 000 dollarit. Ainult lunaraha maksmisele lootmise asemel müüb FunkSec ka varastatud andmeid soodushinnaga.
Sisukord
Tegevuse laiendamine keskse keskuse kaudu
2024. aasta detsembris käivitas FunkSec oma andmelekke saidi (DLS), tsentraliseerides kõik oma tegevused. Platvorm majutab rikkumisteateid, kohandatud hajutatud teenusetõkestamise (DDoS) tööriista ja grupi eritellimusel lunavarapakkumist osana lunavara-teenusena (RaaS) mudelist. See infrastruktuur rõhutab FunkSeci püüdlusi luua usaldusväärsust küberkurjategijate allilmas.
Globaalne ulatus, algajad näitlejad
Ohvrid asuvad peamiselt USA-s, Indias, Itaalias, Brasiilias, Iisraelis, Hispaanias ja Mongoolias. Vaatamata kiirele laienemisele viitab analüüs, et FunkSec võib olla suhteliselt kogenematute operaatorite töö. Paistab, et rühmitus taaskasutab vanemate häktivistlike lekete andmeid, et oma mainet parandada.
Huvitaval kombel tegutseb FunkSec ka andmevahendusteenusena, pakkudes varastatud teavet huvitatud ostjatele hinnaga 1000–5000 dollarit. See kahetine roll hägustab veelgi piiri küberkuritegevuse ja häktivismi vahel.
Poliitilised sidemed ja häktivistlikud lingid
Rühmitus on püüdnud end ühendada liikumisega „Vaba Palestiina“, viidates samal ajal nüüdseks kadunud häktivistlikele kollektiividele nagu Ghost Algeria ja Cyb3r Fl00d. Mõned FunkSeci liikmed näitavad samuti otseseid häktivistlikke kalduvusi, mis tugevdab jätkuvat lähenemist poliitilise aktivismi, organiseeritud küberkuritegevuse ja rahvusriikide stiilis operatsioonide vahel.
FunkSeci taga olevad võtmeisikud
Teadlased on tuvastanud mitu FunkSeciga seotud silmapaistvat isikut:
- Scorpion (tuntud ka kui DesertStorm) – Alžeerias tegutsev näitleja, kes reklaamib gruppi underground-foorumites nagu Breached Forum.
- El_farado – Sai peamiseks promootoriks pärast seda, kui DesertStorm Breached Forumist keelati.
- XTN – Arvatakse, et haldab tundmatut „andmete sorteerimise” teenust.
- Blako – DesertStormi poolt sageli El_farado kõrval mainitud.
- Bjorka – Indoneesia häktivist, kelle varjunime on seostatud FunkSeci leketega DarkForumsis, kas kaastöötajana või kellegi teisena esinemise katsena.
Tehisintellektil põhinevad tööriistad ja tehnikad
FunkSeci tööriistakomplekt ulatub lunavarast kaugemale, hõlmates utiliite kaugtöölaua haldamiseks (JQRAXY_HVNC), paroolide genereerimiseks (funkgenerate) ja DDoS-rünnakuteks. Teadlased usuvad, et nende lunavara krüpteerija ja sellega seotud tööriistade väljatöötamist abistas tehisintellekt, mis võimaldas kiiret iteratsiooni vaatamata piiratud tehnilisele oskusteabele.
Uusim versioon, FunkSec V1.5, on kirjutatud Rustis. Varasemad variandid, mis laaditi üles peamiselt Alžeeriast, sisaldasid viiteid FunkLockerile ja Ghost Algeriale, mis viitab Alžeeria seosele põhiarendajaga.
Pahavara tehniline käitumine
Käivitamisel on FunkSeci lunavara konfigureeritud järgmiselt:
- Eskaleerige privileege.
- Keela turvakontrollid.
- Kustuta varukoopiad.
- Lõpetage protsesside ja teenuste püsikodeeritud loend.
- Krüpteerige failid rekursiivselt kõigis kataloogides.
See tegevusahel rõhutab nende võimet süsteeme häirida vaatamata algaja taustale.
Hägune piir ideoloogia ja kasumi vahel
2024. aasta tähistas lunavaraoperatsioonide märkimisväärset kasvu kogu maailmas, kusjuures geopoliitilised konfliktid õhutasid veelgi häktivistide tegevust. FunkSec kehastab seda murettekitavat poliitilise retoorika ja rahalise motivatsiooni segu, tõestades end 2024. aasta detsembris ühe aktiivseima lunavararühmitusena. Kuigi nende toetumine tehisintellektile ja taaskasutatud leketele on neile tähelepanu pälvinud, on nende kampaania pikaajaline edu endiselt ebakindel.
