FunkSec-ransomware
Forskere innen nettsikkerhet har nylig avdekket FunkSec, en AI-assistert ransomware-familie som dukket opp sent i 2024. Til tross for at den er relativt ny, har gruppen allerede påvirket mer enn 85 ofre i flere land. Virksomheten deres kombinerer datatyveri med kryptering i en dobbel utpressingsordning, men det som skiller dem fra andre er deres uvanlig lave krav om løsepenger, noen ganger så lite som $10 000. I stedet for å utelukkende stole på løsepenger, selger FunkSec også stjålne data til rabatterte priser.
Innholdsfortegnelse
Utvide driften gjennom et sentralt knutepunkt
I desember 2024 lanserte FunkSec sitt eget nettsted for datalekkasjer (DLS), som sentraliserer alle aktivitetene deres. Plattformen er vert for meldinger om brudd, et tilpasset distribuert denial-of-service (DDoS)-verktøy og gruppens skreddersydde ransomware-tilbud som en del av en RaaS-modell (Ransomware-as-a-Service). Denne infrastrukturen fremhever FunkSecs forsøk på å bygge troverdighet i den nettkriminelle undergrunnen.
Global rekkevidde, nybegynnere
Ofrene befinner seg hovedsakelig i USA, India, Italia, Brasil, Israel, Spania og Mongolia. Til tross for den raske ekspansjonen, tyder analyser på at FunkSec kan være arbeidet til relativt uerfarne operatører. Gruppen ser ut til å resirkulere data fra eldre hacktivist-lekkasjer i et forsøk på å styrke omdømmet sitt.
Interessant nok fungerer FunkSec også som en datameglingstjeneste, og tilbyr stjålet informasjon til interesserte kjøpere for 1000 til 5000 dollar. Denne doble rollen visker ytterligere ut grensen mellom nettkriminalitet og hacktivisme.
Politiske bånd og hacktivistkoblinger
Gruppen har gjort forsøk på å alliere seg med «Fritt Palestina»-bevegelsen, samtidig som de refererer til nå nedlagte hacktivistkollektiver som Ghost Algeria og Cyb3r Fl00d. Noen medlemmer av FunkSec viser også direkte hacktivistiske tendenser, noe som forsterker den pågående konvergensen mellom politisk aktivisme, organisert nettkriminalitet og nasjonalstatslignende operasjoner.
Nøkkelfigurene bak FunkSec
Forskere har identifisert flere fremtredende personer knyttet til FunkSec:
- Scorpion (også kjent som DesertStorm) – En skuespiller basert i Algerie som promoterer gruppen på undergrunnsfora som Breached Forum.
- El_farado – Dukket opp som en primær promoter etter at DesertStorm ble utestengt fra Breached Forum.
- XTN – Antas å administrere en ukjent «datasorteringstjeneste».
- Blako – Ofte nevnt sammen med El_farado av DesertStorm.
AI-drevne verktøy og teknikker
FunkSecs verktøysett strekker seg utover ransomware, inkludert verktøy for ekstern skrivebordsadministrasjon (JQRAXY_HVNC), passordgenerering (funkgenerate) og DDoS-angrep. Forskere mener at utviklingen av ransomware-krypteringsprogrammet deres og relaterte verktøy ble assistert av AI, noe som muliggjorde rask iterasjon til tross for begrenset teknisk ekspertise.
Den nyeste versjonen, FunkSec V1.5, er skrevet i Rust. Tidligere varianter, lastet opp hovedsakelig fra Algerie, inneholdt referanser til FunkLocker og Ghost Algeria, noe som tyder på en algerisk kobling til kjerneutvikleren.
Teknisk oppførsel av skadelig programvare
Når FunkSec ransomware kjøres, er det konfigurert til å:
- Eskaler privilegier.
- Deaktiver sikkerhetskontroller.
- Slett skyggekopier av sikkerhetskopier.
- Avslutt en hardkodet liste over prosesser og tjenester.
- Krypter filer rekursivt på tvers av alle kataloger.
Denne operasjonelle kjeden understreker deres evne til å forstyrre systemer til tross for deres nybegynnerbakgrunn.
En uskarp linje mellom ideologi og profitt
Året 2024 markerte betydelig vekst for ransomware-operasjoner globalt, med geopolitiske konflikter som ytterligere drev med hacktivistaktivitet. FunkSec legemliggjør denne urovekkende blandingen av politisk retorikk og økonomisk motivasjon, og etablerte seg som en av de mest aktive ransomware-gruppene i desember 2024. Selv om deres avhengighet av AI og resirkulerte lekkasjer har gitt dem oppmerksomhet, er den langsiktige suksessen til kampanjen deres fortsatt usikker.
