FunkSec Ransomware
Истраживачи сајбер безбедности недавно су открили FunkSec, породицу ransomware-а уз помоћ вештачке интелигенције која се појавила крајем 2024. године. Упркос томе што је релативно нова, група је већ погодила више од 85 жртава у више земаља. Њихове операције комбинују крађу података са шифровањем у шеми двоструке изнуде, али оно што их издваја су њихови необично ниски захтеви за откуп, понекад и до 10.000 долара. Уместо да се ослањају искључиво на плаћања откупа, FunkSec такође продаје украдене податке по сниженим ценама.
Преглед садржаја
Проширење пословања путем централног чворишта
У децембру 2024. године, FunkSec је покренуо сопствену страницу за цурење података (DLS), централизујући све своје активности. Платформа садржи обавештења о кршењу безбедности, прилагођени дистрибуирани алат за ускраћивање услуге (DDoS) и прилагођену понуду групе за ransomware као део модела Ransomware-as-a-Service (RaaS). Ова инфраструктура истиче покушаје FunkSec-а да изгради кредибилитет у сајбер криминалном подземљу.
Глобални досег, глумци почетници
Жртве се првенствено налазе у САД, Индији, Италији, Бразилу, Израелу, Шпанији и Монголији. Упркос њиховом брзом ширењу, анализе сугеришу да би FunkSec могао бити дело релативно неискусних оператера. Изгледа да група рециклира податке из старијих цурења хактивиста у покушају да побољша свој углед.
Занимљиво је да FunkSec такође служи као услуга посредовања у размени података, нудећи украдене информације заинтересованим купцима за 1.000 до 5.000 долара. Ова двострука улога додатно замагљује границу између сајбер криминала и хактивизма.
Политичке везе и везе са хактивистима
Група је покушала да се усклади са покретом „Слободна Палестина“, позивајући се на сада угашене хактивистичке колективе као што су Ghost Algeria и Cyb3r Fl00d. Неки чланови FunkSec-а такође показују директне хактивистичке тенденције, појачавајући континуирану конвергенцију између политичког активизма, организованог сајбер криминала и операција у стилу националне државе.
Кључне личности иза FunkSec-а
Истраживачи су идентификовали неколико истакнутих појединаца повезаних са FunkSec-ом:
- Шкорпион (познат и као ДезертСторм) – глумац из Алжира који промовише групу на андерграунд форумима попут Бриџд форума.
- Ел_фарадо – Појавио се као главни промотер након што је ДесертСторм избачен са Брејчд форума.
- XTN – Верује се да управља непознатом услугом „сортирања података“.
- Блако – Често помињан заједно са Ел_фарадом од стране ДесертСторма.
Алати и технике вођени вештачком интелигенцијом
ФункСеков комплет алата протеже се даље од ransomware-а, укључујући алате за управљање удаљеном радном површином (JQRAXY_HVNC), генерисање лозинки (funkgenerate) и DDoS нападе. Истраживачи верују да је развој њиховог ransomware шифратора и повезаних алата био потпомогнут вештачком интелигенцијом, омогућавајући брзу итерацију упркос ограниченој техничкој стручности.
Најновија верзија, FunkSec V1.5, написана је у Русту. Раније варијанте, отпремљене углавном из Алжира, садржале су референце на FunkLocker и Ghost Algeria, што сугерише алжирску везу са главним програмером.
Техничко понашање злонамерног софтвера
Када се покрене, FunkSec ransomware је конфигурисан да:
- Повећајте привилегије.
- Онемогућите безбедносне контроле.
- Обришите резервне копије у сенченој форми.
- Завршите чврсто кодирану листу процеса и услуга.
- Рекурзивно шифрујте датотеке у свим директоријумима.
Овај оперативни ланац наглашава њихову способност да поремете системе упркос њиховом почетничком искуству.
Замагљена линија између идеологије и профита
Година 2024. обележила је значајан раст операција ransomware-а на глобалном нивоу, а геополитички сукоби су додатно подстакли хактивистичке активности. FunkSec отелотворује ову проблематичну мешавину политичке реторике и финансијске мотивације, етаблирајући се као једна од најактивнијих ransomware група у децембру 2024. године. Иако им је ослањање на вештачку интелигенцију и рециклиране цуреће информације привукло пажњу, дугорочни успех њихове кампање остаје неизвестан.
