باج‌افزار FunkSec

محققان امنیت سایبری اخیراً FunkSec، یک خانواده باج‌افزار مبتنی بر هوش مصنوعی که در اواخر سال ۲۰۲۴ ظاهر شد، را کشف کرده‌اند. با وجود اینکه این گروه نسبتاً جدید است، تاکنون بیش از ۸۵ قربانی را در چندین کشور تحت تأثیر قرار داده است. عملیات آنها سرقت داده‌ها را با رمزگذاری در یک طرح اخاذی دوگانه ترکیب می‌کند، اما آنچه آنها را متمایز می‌کند، درخواست‌های باج بسیار کم آنها است که گاهی اوقات به ۱۰۰۰۰ دلار می‌رسد. FunkSec به جای تکیه صرف بر پرداخت باج، داده‌های سرقت شده را با قیمت‌های تخفیف‌دار نیز می‌فروشد.

گسترش عملیات از طریق یک مرکز مرکزی

در دسامبر ۲۰۲۴، FunkSec سایت نشت اطلاعات (DLS) خود را راه‌اندازی کرد و تمام فعالیت‌های خود را متمرکز نمود. این پلتفرم میزبان اطلاعیه‌های نقض امنیتی، یک ابزار انکار سرویس توزیع‌شده (DDoS) سفارشی و باج‌افزار سفارشی این گروه به عنوان بخشی از مدل باج‌افزار به عنوان سرویس (RaaS) است. این زیرساخت، تلاش‌های FunkSec برای ایجاد اعتبار در میان مجرمان سایبری زیرزمینی را برجسته می‌کند.

دسترسی جهانی، بازیگران تازه کار

قربانیان عمدتاً در ایالات متحده، هند، ایتالیا، برزیل، اسرائیل، اسپانیا و مغولستان قرار دارند. با وجود گسترش سریع آنها، تجزیه و تحلیل نشان می‌دهد که FunkSec ممکن است کار اپراتورهای نسبتاً بی‌تجربه باشد. به نظر می‌رسد این گروه برای افزایش اعتبار خود، داده‌های نشت‌شده توسط هکرهای قدیمی را بازیافت می‌کند.

جالب اینجاست که FunkSec به عنوان یک سرویس دلالی داده نیز فعالیت می‌کند و اطلاعات سرقت شده را با قیمت ۱۰۰۰ تا ۵۰۰۰ دلار به خریداران علاقه‌مند ارائه می‌دهد. این نقش دوگانه، مرز بین جرایم سایبری و هکتیویسم را بیش از پیش محو می‌کند.

پیوندهای سیاسی و هکتیویستی

این گروه تلاش‌هایی برای همسو کردن خود با جنبش «فلسطین آزاد» انجام داده است، در حالی که به گروه‌های هک‌تیویستی که اکنون از بین رفته‌اند مانند Ghost Algeria و Cyb3r Fl00d اشاره می‌کند. برخی از اعضای FunkSec نیز تمایلات هک‌تیویستی مستقیمی نشان می‌دهند که همگرایی مداوم بین فعالیت سیاسی، جرایم سایبری سازمان‌یافته و عملیات به سبک دولت-ملت را تقویت می‌کند.

چهره‌های کلیدی پشت پرده فانک‌سک

محققان چندین فرد برجسته مرتبط با FunkSec را شناسایی کرده‌اند:

• اسکورپیون (معروف به DesertStorm) - یک بازیگر ساکن الجزایر که این گروه را در انجمن‌های زیرزمینی مانند Breached Forum تبلیغ می‌کند.
• El_farado – پس از اینکه DesertStorm از انجمن Breached ممنوع شد، به عنوان یکی از مروجان اصلی ظهور کرد.
• XTN - اعتقاد بر این است که یک سرویس «مرتب‌سازی داده‌ها»ی ناشناخته را مدیریت می‌کند.
• بلاکو - اغلب در کنار ال_فارادو توسط DesertStorm ذکر می‌شود.

ابزارها و تکنیک‌های مبتنی بر هوش مصنوعی

جعبه ابزار FunkSec فراتر از باج‌افزار است و شامل ابزارهایی برای مدیریت دسکتاپ از راه دور (JQRAXY_HVNC)، تولید رمز عبور (funkgenerate) و حملات DDoS می‌شود. محققان معتقدند که توسعه‌ی رمزگذار باج‌افزار و ابزارهای مرتبط با آن با کمک هوش مصنوعی انجام شده است و با وجود تخصص فنی محدود، امکان تکرار سریع را فراهم می‌کند.

آخرین نسخه، FunkSec V1.5، با زبان Rust نوشته شده است. نسخه‌های قبلی که عمدتاً از الجزایر آپلود شده بودند، حاوی اشاراتی به FunkLocker و Ghost Algeria بودند که نشان می‌دهد ارتباط الجزایری با توسعه‌دهنده اصلی وجود دارد.

رفتار فنی بدافزار

باج‌افزار FunkSec هنگام اجرا به گونه‌ای پیکربندی می‌شود که:

• امتیازات را تشدید کنید.
• کنترل‌های امنیتی را غیرفعال کنید.
• پشتیبان‌های Shadow Copy را حذف کنید.
• خاتمه دادن به فهرستی از فرآیندها و خدمات که به صورت دستی کدگذاری شده‌اند.
• رمزگذاری بازگشتی فایل‌ها در تمام دایرکتوری‌ها.

این زنجیره عملیاتی، توانایی آنها در ایجاد اختلال در سیستم‌ها را علیرغم پیشینه تازه‌کاری‌شان، برجسته می‌کند.

مرز مبهم بین ایدئولوژی و سود

سال ۲۰۲۴ شاهد رشد قابل توجه عملیات باج‌افزاری در سطح جهانی بود، و درگیری‌های ژئوپلیتیکی نیز به فعالیت‌های هکتیویستی دامن زد. FunkSec مظهر این ترکیب نگران‌کننده از لفاظی‌های سیاسی و انگیزه‌های مالی است و خود را به عنوان یکی از فعال‌ترین گروه‌های باج‌افزاری در دسامبر ۲۰۲۴ معرفی کرد. در حالی که اتکای آنها به هوش مصنوعی و نشت‌های اطلاعاتی بازیافتی توجه‌ها را به خود جلب کرده است، موفقیت بلندمدت کمپین آنها همچنان نامشخص است.