FunkSec Ransomware
Исследователи кибербезопасности недавно обнаружили FunkSec — семейство программ-вымогателей, использующих искусственный интеллект, появившееся в конце 2024 года. Несмотря на свою относительно новую сущность, эта группировка уже затронула более 85 жертв в разных странах. Их деятельность сочетает кражу данных с шифрованием, создавая схему двойного вымогательства, но их отличительной чертой являются необычно низкие требования выкупа, иногда достигающие всего 10 000 долларов США. Вместо того чтобы полагаться исключительно на выкуп, FunkSec также продаёт украденные данные по сниженным ценам.
Оглавление
Расширение операций через центральный узел
В декабре 2024 года FunkSec запустила собственный сайт по утечкам данных (DLS), централизовав всю свою деятельность. На платформе размещаются объявления об утечках, специальный инструмент для распределенной атаки типа «отказ в обслуживании» (DDoS) и собственное предложение группы по вымогательству в рамках модели «программы-вымогатели как услуга» (RaaS). Эта инфраструктура отражает стремление FunkSec завоевать доверие в киберпреступном сообществе.
Глобальный охват, начинающие актеры
Жертвы в основном находятся в США, Индии, Италии, Бразилии, Израиле, Испании и Монголии. Несмотря на быстрое расширение, анализ показывает, что FunkSec может быть делом рук относительно неопытных операторов. По всей видимости, группа использует данные из старых утечек хакеров, пытаясь укрепить свою репутацию.
Примечательно, что FunkSec также выступает в роли брокера данных, предлагая украденную информацию заинтересованным покупателям за 1000–5000 долларов. Эта двойная роль ещё больше размывает грань между киберпреступностью и хактивизмом.
Политические связи и связи с хакерами
Группа пыталась сблизиться с движением «Свободная Палестина», ссылаясь на ныне несуществующие хакерские коллективы, такие как Ghost Algeria и Cyb3r Fl00d. Некоторые участники FunkSec также демонстрируют прямые хакерские наклонности, что подтверждает продолжающееся сближение политического активизма, организованной киберпреступности и операций в стиле национальных государств.
Ключевые фигуры FunkSec
Исследователи выявили несколько видных личностей, связанных с FunkSec:
- Scorpion (он же DesertStorm) — алжирский актёр, продвигающий группу на подпольных форумах, таких как Breached Forum.
- El_farado – Стал основным промоутером после того, как DesertStorm был забанен на форуме Breached.
- XTN – Предполагается, что он управляет неизвестной службой «сортировки данных».
- Блако – часто упоминается вместе с Эль_фарадо в DesertStorm.
Инструменты и методы на основе ИИ
Инструментарий FunkSec выходит за рамки программ-вымогателей и включает утилиты для удалённого управления рабочим столом (JQRAXY_HVNC), генерации паролей (funkgenerate) и DDoS-атак. Исследователи полагают, что разработке их шифровальщика-вымогателя и связанных с ним инструментов способствовал искусственный интеллект, что позволило ускорить итерации, несмотря на ограниченный технический опыт.
Последняя версия, FunkSec V1.5, написана на Rust. Более ранние версии, загруженные преимущественно из Алжира, содержали ссылки на FunkLocker и Ghost Algeria, что указывает на алжирскую связь с основным разработчиком.
Техническое поведение вредоносного ПО
После запуска вирус-вымогатель FunkSec настроен на:
- Повысить привилегии.
- Отключите средства безопасности.
- Удалить теневые резервные копии.
- Завершить жестко заданный список процессов и служб.
- Рекурсивно шифровать файлы во всех каталогах.
Эта операционная цепочка подчеркивает их способность нарушать работу систем, несмотря на их новичок.
Размытая грань между идеологией и прибылью
2024 год ознаменовался значительным ростом активности программ-вымогателей по всему миру, а геополитические конфликты ещё больше подпитывали активность хакеров. FunkSec воплощает в себе это тревожное сочетание политической риторики и финансовой мотивации, зарекомендовав себя как одна из самых активных группировок, занимающихся программами-вымогателями, в декабре 2024 года. Хотя их опора на ИИ и переработанные утечки данных привлекла к ним внимание, долгосрочный успех их кампании остаётся неопределённым.
