FunkSec Ransomware
Cybersäkerhetsforskare har nyligen avslöjat FunkSec, en AI-assisterad ransomware-familj som dök upp i slutet av 2024. Trots att gruppen är relativt ny har den redan påverkat fler än 85 offer i flera länder. Deras verksamhet kombinerar datastöld med kryptering i ett dubbelt utpressningsschema, men det som skiljer dem från mängden är deras ovanligt låga lösensumma, ibland så lite som 10 000 dollar. Istället för att enbart förlita sig på lösensumma säljer FunkSec även stulen data till rabatterade priser.
Innehållsförteckning
Utöka verksamheten genom en central hubb
I december 2024 lanserade FunkSec sin egen webbplats för dataläckor (DLS), som centraliserar alla sina aktiviteter. Plattformen innehåller meddelanden om dataintrång, ett anpassat distribuerat denial-of-service-verktyg (DDoS) och gruppens skräddarsydda ransomware-erbjudande som en del av en RaaS-modell (Ransomware-as-a-Service). Denna infrastruktur belyser FunkSecs försök att bygga trovärdighet inom den cyberkriminella underjorden.
Global räckvidd, nybörjarskådespelare
Offren finns främst i USA, Indien, Italien, Brasilien, Israel, Spanien och Mongoliet. Trots deras snabba expansion tyder analyser på att FunkSec kan vara ett resultat av relativt oerfarna operatörer. Gruppen verkar återvinna data från äldre hacktivistläckor i ett försök att stärka sitt rykte.
Intressant nog fungerar FunkSec även som en dataförmedlingstjänst och erbjuder stulen information till intresserade köpare för 1 000 till 5 000 dollar. Denna dubbla roll suddar ytterligare ut gränsen mellan cyberbrottslighet och hacktivism.
Politiska band och hacktivistkopplingar
Gruppen har gjort försök att alliera sig med rörelsen "Free Palestine" samtidigt som de hänvisar till numera nedlagda hacktivistkollektiv som Ghost Algeria och Cyb3r Fl00d. Vissa medlemmar av FunkSec visar också direkta hacktivistiska tendenser, vilket förstärker den pågående konvergensen mellan politisk aktivism, organiserad cyberbrottslighet och operationer i nationalstatsliknande stil.
Nyckelpersoner bakom FunkSec
Forskare har identifierat flera framstående individer med koppling till FunkSec:
- Scorpion (aka DesertStorm) – En skådespelare baserad i Algeriet som marknadsför gruppen på undergroundforum som Breached Forum.
- El_farado – Framträdde som en primär promotor efter att DesertStorm blev avstängd från Breached Forum.
- XTN – Tros hantera en okänd "datasorteringstjänst".
- Blako – Ofta nämnd tillsammans med El_farado av DesertStorm.
AI-drivna verktyg och tekniker
FunkSecs verktygslåda sträcker sig bortom ransomware, inklusive verktyg för fjärrskrivbordshantering (JQRAXY_HVNC), lösenordsgenerering (funkgenerate) och DDoS-attacker. Forskare tror att utvecklingen av deras ransomware-krypterare och relaterade verktyg hjälptes av AI, vilket möjliggjorde snabb iteration trots begränsad teknisk expertis.
Den senaste versionen, FunkSec V1.5, är skriven i Rust. Tidigare varianter, huvudsakligen uppladdade från Algeriet, innehöll referenser till FunkLocker och Ghost Algeria, vilket tyder på en algerisk koppling till kärnutvecklaren.
Tekniskt beteende hos skadlig programvara
När FunkSec ransomware körs är det konfigurerat att:
- Eskalera privilegier.
- Inaktivera säkerhetskontroller.
- Ta bort skuggkopior av säkerhetskopior.
- Avsluta en hårdkodad lista över processer och tjänster.
- Kryptera filer rekursivt i alla kataloger.
Denna operativa kedja understryker deras förmåga att störa system trots deras nybörjarbakgrund.
En suddig linje mellan ideologi och vinst
År 2024 präglades av betydande tillväxt för ransomware-verksamhet globalt, med geopolitiska konflikter som ytterligare underblåste hacktivistaktivitet. FunkSec förkroppsligar denna oroande blandning av politisk retorik och ekonomisk motivation och etablerade sig som en av de mest aktiva ransomware-grupperna i december 2024. Även om deras beroende av AI och återvunna läckor har fått dem uppmärksamhet, är den långsiktiga framgången för deras kampanj fortfarande osäker.
