Ransomware FunkSec
I ricercatori di sicurezza informatica hanno recentemente scoperto FunkSec, una famiglia di ransomware assistita dall'intelligenza artificiale emersa alla fine del 2024. Pur essendo relativamente nuova, il gruppo ha già colpito più di 85 vittime in diversi paesi. Le loro operazioni combinano il furto di dati con la crittografia in uno schema di doppia estorsione, ma ciò che li distingue sono le richieste di riscatto insolitamente basse, a volte anche solo di 10.000 dollari. Invece di affidarsi esclusivamente al pagamento del riscatto, FunkSec vende anche i dati rubati a prezzi scontati.
Sommario
Espansione delle operazioni tramite un hub centrale
Nel dicembre 2024, FunkSec ha lanciato il proprio sito di segnalazione delle fughe di dati (DLS), centralizzando tutte le sue attività. La piattaforma ospita annunci di violazioni, uno strumento personalizzato di denial-of-service distribuito (DDoS) e l'offerta ransomware su misura del gruppo, nell'ambito di un modello Ransomware-as-a-Service (RaaS). Questa infrastruttura evidenzia i tentativi di FunkSec di costruire credibilità nell'underground della criminalità informatica.
Portata globale, attori alle prime armi
Le vittime si trovano principalmente negli Stati Uniti, in India, Italia, Brasile, Israele, Spagna e Mongolia. Nonostante la loro rapida espansione, le analisi suggeriscono che FunkSec potrebbe essere opera di operatori relativamente inesperti. Il gruppo sembra riciclare dati da vecchie fughe di notizie da parte di hacktivisti nel tentativo di rafforzare la propria reputazione.
È interessante notare che FunkSec funge anche da servizio di intermediazione dati, offrendo informazioni rubate ad acquirenti interessati per un prezzo compreso tra 1.000 e 5.000 dollari. Questo duplice ruolo confonde ulteriormente il confine tra criminalità informatica e hacktivism.
Legami politici e collegamenti con gli hacktivisti
Il gruppo ha tentato di allinearsi al movimento "Palestina Libera", pur facendo riferimento a collettivi di hacktivisti ormai scomparsi come Ghost Algeria e Cyb3r Fl00d. Alcuni membri di FunkSec mostrano anche tendenze hacktiviste dirette, rafforzando la convergenza in atto tra attivismo politico, criminalità informatica organizzata e operazioni in stile stato-nazione.
Cifre chiave dietro FunkSec
I ricercatori hanno identificato diversi individui di spicco collegati a FunkSec:
- Scorpion (alias DesertStorm) – Un attore residente in Algeria che promuove il gruppo su forum underground come Breached Forum.
- El_farado – È emerso come uno dei principali promotori dopo che DesertStorm è stato bandito dal Breached Forum.
- XTN – Si ritiene che gestisca un servizio di "ordinamento dati" sconosciuto.
- Blako – Spesso menzionato insieme a El_farado da DesertStorm.
- Bjorka – Un hacktivist indonesiano il cui alias è stato collegato alle fughe di notizie di FunkSec su DarkForums, sia come collaboratore che come tentativo di impersonificazione.
Strumenti e tecniche basati sull’intelligenza artificiale
Il toolkit di FunkSec si estende oltre il ransomware, includendo utility per la gestione del desktop remoto (JQRAXY_HVNC), la generazione di password (funkgenerate) e gli attacchi DDoS. I ricercatori ritengono che lo sviluppo del loro crittografo per ransomware e degli strumenti correlati sia stato supportato dall'intelligenza artificiale, consentendo una rapida iterazione nonostante le limitate competenze tecniche.
L'ultima versione, FunkSec V1.5, è scritta in Rust. Le varianti precedenti, caricate principalmente dall'Algeria, contenevano riferimenti a FunkLocker e Ghost Algeria, suggerendo un legame algerino con lo sviluppatore principale.
Comportamento tecnico del malware
Una volta eseguito, il ransomware FunkSec è configurato per:
- Aumentare i privilegi.
- Disattivare i controlli di sicurezza.
- Eliminare i backup delle copie shadow.
- Terminare un elenco hard-coded di processi e servizi.
- Crittografa ricorsivamente i file in tutte le directory.
Questa catena operativa sottolinea la loro capacità di rivoluzionare i sistemi nonostante il loro background da principianti.
Una linea sfocata tra ideologia e profitto
Il 2024 ha segnato una crescita significativa delle operazioni ransomware a livello globale, con conflitti geopolitici che hanno ulteriormente alimentato l'attività degli hacktivisti. FunkSec incarna questa preoccupante miscela di retorica politica e motivazioni finanziarie, affermandosi come uno dei gruppi ransomware più attivi nel dicembre 2024. Sebbene il loro affidamento all'intelligenza artificiale e alle perdite riciclate abbia attirato l'attenzione, il successo a lungo termine della loro campagna rimane incerto.
