תוכנת הכופר FunkSec

חוקרי אבטחת סייבר חשפו לאחרונה את FunkSec, משפחת תוכנות כופר בסיוע בינה מלאכותית שצצה בסוף 2024. למרות היותה חדשה יחסית, הקבוצה כבר השפיעה על יותר מ-85 קורבנות במספר מדינות. פעילותם משלבת גניבת נתונים עם הצפנה במסגרת תוכנית סחיטה כפולה, אך מה שמייחד אותם הוא דרישות הכופר הנמוכות באופן יוצא דופן, לפעמים עד 10,000 דולר. במקום להסתמך אך ורק על תשלומי כופר, FunkSec מוכרת גם נתונים גנובים במחירים מוזלים.

הרחבת הפעילות באמצעות מרכז מרכזי

בדצמבר 2024, FunkSec השיקה אתר דליפות נתונים (DLS) משלה, המרכז את כל פעילויותיה. הפלטפורמה מארחת הודעות על פרצות, כלי מניעת שירות מבוזר (DDoS) מותאם אישית, ואת הצעת תוכנות הכופר המותאמות אישית של הקבוצה כחלק ממודל Ransomware-as-a-Service (RaaS). תשתית זו מדגישה את ניסיונותיה של FunkSec לבנות אמינות במחתרת פושעי הסייבר.

טווח עולמי, שחקנים מתחילים

הקורבנות ממוקמים בעיקר בארה"ב, הודו, איטליה, ברזיל, ישראל, ספרד ומונגוליה. למרות התרחבותם המהירה, ניתוח מצביע על כך ש-FunkSec עשויה להיות פרי עבודתם של מפעילים חסרי ניסיון יחסית. נראה כי הקבוצה ממחזרת נתונים מדליפות ישנות יותר של האקרים בניסיון לשפר את המוניטין שלה.

מעניין לציין ש-FunkSec משמש גם כשירות תיווך נתונים, ומציע מידע גנוב לקונים מעוניינים תמורת 1,000 עד 5,000 דולר. תפקיד כפול זה מטשטש עוד יותר את הגבול בין פשעי סייבר להאקטיביזם.

קשרים פוליטיים וקשרים עם האקטיביסטים

הקבוצה ניסתה להתיישר עם תנועת "פלסטין החופשית" תוך התייחסות לקולקטיבים האקטיביסטים שכבר אינם קיימים, כמו Ghost Algeria ו-Cyb3r Fl00d. חלק מחברי FunkSec מראים גם נטיות ישירות של האקטיביזם, מה שמחזק את ההתכנסות המתמשכת בין אקטיביזם פוליטי, פשעי סייבר מאורגנים ופעולות בסגנון מדינת לאום.

דמויות מפתח מאחורי FunkSec

חוקרים זיהו מספר אנשים בולטים הקשורים ל-FunkSec:

• סקורפיון (הידוע גם כ-DesertStorm) – שחקן מאלג'יריה שמקדם את הלהקה בפורומים מחתרתיים כמו Breached Forum.
• El_farado – צץ כמקדם ראשי לאחר ש-DesertStorm נאסר מפורום Breached.
• XTN – נחשב למנהל שירות 'מיון נתונים' לא ידוע.
• Blako – מוזכר לעתים קרובות לצד El_farado על ידי DesertStorm.

כלים וטכניקות מונעי בינה מלאכותית

ערכת הכלים של FunkSec משתרעת מעבר לתוכנות כופר, כוללת כלים לניהול שולחן עבודה מרוחק (JQRAXY_HVNC), יצירת סיסמאות (funkgenerate) והתקפות DDoS. חוקרים מאמינים כי פיתוח כלי הצפנת התוכנות הכופר שלהם וכלים קשורים נעזר בבינה מלאכותית, מה שאפשר איטרציה מהירה למרות מומחיות טכנית מוגבלת.

הגרסה האחרונה, FunkSec V1.5, כתובה ב-Rust. גרסאות קודמות, שהועלו בעיקר מאלג'יריה, הכילו אזכורים ל-FunkLocker ול-Ghost Algeria, דבר המצביע על קשר אלג'יראי למפתח הליבה.

התנהגות טכנית של התוכנה הזדונית

כאשר הוא מבוצע, תוכנת הכופר FunkSec מוגדרת כך:

• הגדלת הרשאות.
• השבתת בקרות אבטחה.
• מחיקת גיבויים של עותק צל.
• סיום רשימה קשיחה של תהליכים ושירותים.
• הצפנה רקורסיבית של קבצים בכל הספריות.

שרשרת תפעולית זו מדגישה את יכולתם לשבש מערכות למרות הרקע הטריורי שלהם.

קו מטושטש בין אידיאולוגיה לרווח

שנת 2024 סימנה צמיחה משמעותית בפעילות תוכנות כופר ברחבי העולם, כאשר סכסוכים גיאופוליטיים עודדו את פעילותם של ההאקרים. FunkSec מגלמת את השילוב המדאיג הזה של רטוריקה פוליטית ומוטיבציה כלכלית, וביססה את עצמה כאחת מקבוצות תוכנות הכופר הפעילות ביותר בדצמבר 2024. בעוד שהסתמכותם על בינה מלאכותית והדלפות ממוחזרות משכה את תשומת ליבם, הצלחת הקמפיין ארוכת הטווח נותרה לא ודאית.