FunkSec ransomware
Istraživači kibernetičke sigurnosti nedavno su otkrili FunkSec, obitelj ransomwarea potpomognutih umjetnom inteligencijom koja se pojavila krajem 2024. Unatoč tome što je relativno nova, skupina je već utjecala na više od 85 žrtava u više zemalja. Njihove operacije kombiniraju krađu podataka s enkripcijom u shemi dvostruke iznude, ali ono što ih izdvaja su njihovi neobično niski zahtjevi za otkupninu, ponekad i do 10.000 dolara. Umjesto da se oslanja isključivo na otkupnine, FunkSec također prodaje ukradene podatke po sniženim cijenama.
Sadržaj
Proširenje poslovanja putem centralnog čvorišta
U prosincu 2024., FunkSec je pokrenuo vlastitu stranicu za otkrivanje curenja podataka (DLS), centralizirajući sve svoje aktivnosti. Platforma nudi najave kršenja sigurnosti, prilagođeni distribuirani alat za uskraćivanje usluge (DDoS) i prilagođenu ponudu ransomwarea grupe kao dio modela Ransomware-as-a-Service (RaaS). Ova infrastruktura ističe pokušaje FunkSeca da izgradi kredibilitet u kibernetičkom podzemlju.
Globalni doseg, glumci početnici
Žrtve se prvenstveno nalaze u SAD-u, Indiji, Italiji, Brazilu, Izraelu, Španjolskoj i Mongoliji. Unatoč brzom širenju, analize sugeriraju da bi FunkSec mogao biti djelo relativno neiskusnih operatera. Čini se da grupa reciklira podatke iz starijih procurenih informacija haktivista u pokušaju da poboljša svoj ugled.
Zanimljivo je da FunkSec također služi kao posrednička usluga za podatke, nudeći ukradene informacije zainteresiranim kupcima za 1000 do 5000 dolara. Ova dvostruka uloga dodatno zamagljuje granicu između kibernetičkog kriminala i haktivizma.
Političke veze i veze s haktivistima
Grupa je pokušala uskladiti se s pokretom 'Slobodna Palestina', aludirajući pritom na sada nepostojeće haktivističke kolektive poput Ghost Algeria i Cyb3r Fl00d. Neki članovi FunkSeca također pokazuju izravne haktivističke tendencije, pojačavajući kontinuiranu konvergenciju između političkog aktivizma, organiziranog kibernetičkog kriminala i operacija u stilu nacionalne države.
Ključne osobe iza FunkSeca
Istraživači su identificirali nekoliko istaknutih pojedinaca povezanih s FunkSecom:
- Scorpion (poznat i kao DesertStorm) – Glumac iz Alžira koji promovira grupu na underground forumima poput Breached Foruma.
- El_farado – Pojavio se kao glavni promotor nakon što je DesertStorm baniran s Breached Foruma.
- XTN – Vjeruje se da upravlja nepoznatom uslugom 'sortiranja podataka'.
- Blako – Često spominjan uz El_farada od strane DesertStorma.
Alati i tehnike vođeni umjetnom inteligencijom
FunkSecov alatni paket proteže se dalje od ransomwarea, uključujući alate za upravljanje udaljenom radnom površinom (JQRAXY_HVNC), generiranje lozinki (funkgenerate) i DDoS napade. Istraživači vjeruju da je razvoj njihovog enkriptorskog programa za ransomware i povezanih alata potpomognut umjetnom inteligencijom, što omogućuje brzu iteraciju unatoč ograničenom tehničkom znanju.
Najnovija verzija, FunkSec V1.5, napisana je u Rustu. Ranije varijante, prenesene uglavnom iz Alžira, sadržavale su reference na FunkLocker i Ghost Algeria, što sugerira alžirsku vezu s glavnim programerom.
Tehničko ponašanje zlonamjernog softvera
Kada se izvrši, FunkSec ransomware je konfiguriran za:
- Povećajte privilegije.
- Onemogućite sigurnosne kontrole.
- Izbrišite sigurnosne kopije u sjeni.
- Završite čvrsto kodiranu listu procesa i usluga.
- Rekurzivno šifrirajte datoteke u svim direktorijima.
Ovaj operativni lanac naglašava njihovu sposobnost da poremete sustave unatoč njihovom početničkom iskustvu.
Zamagljena granica između ideologije i profita
Godina 2024. obilježila je značajan rast operacija ransomwarea diljem svijeta, a geopolitički sukobi dodatno su potaknuli aktivnosti haktivista. FunkSec utjelovljuje ovu problematičnu mješavinu političke retorike i financijske motivacije, etablirajući se kao jedna od najaktivnijih skupina za ransomware u prosincu 2024. Iako im je oslanjanje na umjetnu inteligenciju i reciklirane procurele informacije privuklo pozornost, dugoročni uspjeh njihove kampanje ostaje neizvjestan.
