แรนซัมแวร์ FunkSec

นักวิจัยด้านความปลอดภัยไซเบอร์เพิ่งค้นพบ FunkSec ซึ่งเป็นแรนซัมแวร์ตระกูลหนึ่งที่ใช้เทคโนโลยี AI ช่วย ซึ่งเพิ่งปรากฏขึ้นในช่วงปลายปี 2024 แม้จะค่อนข้างใหม่ แต่กลุ่มนี้ก็ได้ส่งผลกระทบต่อเหยื่อมากกว่า 85 รายในหลายประเทศ ปฏิบัติการของพวกเขาผสมผสานการขโมยข้อมูลเข้ากับการเข้ารหัสในรูปแบบการรีดไถซ้ำซ้อน แต่สิ่งที่ทำให้ FunkSec แตกต่างคือการเรียกค่าไถ่ที่ต่ำผิดปกติ บางครั้งเพียง 10,000 ดอลลาร์สหรัฐฯ แทนที่จะพึ่งพาการจ่ายค่าไถ่เพียงอย่างเดียว FunkSec ยังขายข้อมูลที่ขโมยมาในราคาลดพิเศษอีกด้วย

การขยายการดำเนินงานผ่านศูนย์กลาง

ในเดือนธันวาคม 2567 FunkSec ได้เปิดตัวเว็บไซต์รั่วไหลข้อมูล (DLS) ของตนเอง ซึ่งรวมศูนย์กิจกรรมทั้งหมดไว้ด้วยกัน แพลตฟอร์มนี้ประกอบด้วยการประกาศการละเมิด เครื่องมือปฏิเสธการให้บริการแบบกระจาย (DDoS) ที่กำหนดเอง และข้อเสนอแรนซัมแวร์เฉพาะของกลุ่ม ซึ่งเป็นส่วนหนึ่งของโมเดล Ransomware-as-a-Service (RaaS) โครงสร้างพื้นฐานนี้เน้นย้ำถึงความพยายามของ FunkSec ในการสร้างความน่าเชื่อถือให้กับกลุ่มอาชญากรไซเบอร์ใต้ดิน

เข้าถึงทั่วโลก นักแสดงมือใหม่

เหยื่อส่วนใหญ่อยู่ในสหรัฐอเมริกา อินเดีย อิตาลี บราซิล อิสราเอล สเปน และมองโกเลีย แม้จะมีการขยายตัวอย่างรวดเร็ว แต่การวิเคราะห์ชี้ให้เห็นว่า FunkSec อาจเป็นผลงานของผู้ประกอบการที่ยังขาดประสบการณ์ กลุ่มนี้ดูเหมือนจะนำข้อมูลจากการรั่วไหลของแฮ็กเกอร์เก่าๆ กลับมาใช้ใหม่เพื่อพยายามสร้างชื่อเสียง

ที่น่าสนใจคือ FunkSec ยังทำหน้าที่เป็นนายหน้าซื้อขายข้อมูลอีกด้วย โดยเสนอข้อมูลที่ขโมยมาให้กับผู้ซื้อที่สนใจในราคา 1,000 ถึง 5,000 ดอลลาร์สหรัฐฯ บทบาทสองประการนี้ยิ่งทำให้เส้นแบ่งระหว่างอาชญากรรมไซเบอร์และการแฮ็กติวิสต์เลือนลางลงไปอีก

ความสัมพันธ์ทางการเมืองและลิงก์แฮ็กติวิสต์

กลุ่มนี้ได้พยายามเชื่อมโยงตัวเองเข้ากับขบวนการ 'ปลดปล่อยปาเลสไตน์' โดยอ้างอิงถึงกลุ่มแฮ็กติวิสต์ที่ปัจจุบันได้ยุติการดำเนินงานแล้ว เช่น Ghost Algeria และ Cyb3r Fl00d สมาชิกบางคนของ FunkSec ยังแสดงแนวโน้มแฮ็กติวิสต์โดยตรง ซึ่งตอกย้ำถึงการบรรจบกันอย่างต่อเนื่องระหว่างการเคลื่อนไหวทางการเมือง อาชญากรรมไซเบอร์ที่จัดตั้ง และปฏิบัติการแบบรัฐชาติ

บุคคลสำคัญเบื้องหลัง FunkSec

นักวิจัยได้ระบุบุคคลที่มีชื่อเสียงหลายคนที่เชื่อมโยงกับ FunkSec:

• Scorpion (หรือที่รู้จักในชื่อ DesertStorm) – นักแสดงจากแอลจีเรียที่โปรโมตกลุ่มนี้ในฟอรัมใต้ดินเช่น Breached Forum
• El_farado – กลายมาเป็นโปรโมเตอร์หลักหลังจากที่ DesertStorm ถูกแบนจาก Breached Forum
• XTN – เชื่อกันว่าทำหน้าที่จัดการบริการ 'การเรียงลำดับข้อมูล' ที่ไม่รู้จัก
• Blako – มักถูกกล่าวถึงร่วมกับ El_farado โดย DesertStorm

เครื่องมือและเทคนิคที่ขับเคลื่อนด้วย AI

ชุดเครื่องมือของ FunkSec ครอบคลุมมากกว่าแค่แรนซัมแวร์ ซึ่งรวมถึงยูทิลิตี้สำหรับการจัดการเดสก์ท็อประยะไกล (JQRAXY_HVNC) การสร้างรหัสผ่าน (funkgenerate) และการโจมตีแบบ DDoS นักวิจัยเชื่อว่าการพัฒนาเครื่องมือเข้ารหัสแรนซัมแวร์และเครื่องมือที่เกี่ยวข้องนั้นได้รับความช่วยเหลือจาก AI ทำให้สามารถทำซ้ำได้อย่างรวดเร็ว แม้จะมีความเชี่ยวชาญทางเทคนิคที่จำกัด

FunkSec V1.5 เวอร์ชันล่าสุดเขียนด้วยภาษา Rust เวอร์ชันก่อนหน้าซึ่งอัปโหลดจากแอลจีเรียเป็นหลัก มีการอ้างอิงถึง FunkLocker และ Ghost Algeria ซึ่งบ่งชี้ว่าลิงก์ไปยังนักพัฒนาหลักจากแอลจีเรียเป็นลิงก์จากแอลจีเรีย

พฤติกรรมทางเทคนิคของมัลแวร์

เมื่อดำเนินการแล้ว FunkSec ransomware จะถูกกำหนดค่าดังนี้:

• สิทธิ์ในการยกระดับ
• ปิดการใช้งานการควบคุมความปลอดภัย
• ลบการสำรองข้อมูลสำเนาเงา
• ยุติรายการกระบวนการและบริการที่เข้ารหัสแบบตายตัว
• เข้ารหัสไฟล์แบบเรียกซ้ำทั่วทั้งไดเร็กทอรี

ห่วงโซ่ปฏิบัติการนี้เน้นย้ำถึงความสามารถในการหยุดชะงักของระบบ แม้ว่าจะไม่ได้เป็นมือใหม่ก็ตาม

เส้นแบ่งที่เลือนลางระหว่างอุดมการณ์และผลกำไร

ปี 2024 เป็นปีแห่งการเติบโตอย่างมีนัยสำคัญของปฏิบัติการแรนซัมแวร์ทั่วโลก โดยความขัดแย้งทางภูมิรัฐศาสตร์ยิ่งกระตุ้นให้เกิดกิจกรรมแฮ็กติวิสต์มากขึ้น FunkSec รวบรวมวาทกรรมทางการเมืองและแรงจูงใจทางการเงินที่น่ากังวลนี้ไว้ด้วยกัน จนกลายเป็นหนึ่งในกลุ่มแรนซัมแวร์ที่เคลื่อนไหวมากที่สุดในเดือนธันวาคม 2024 แม้ว่าการพึ่งพา AI และการรั่วไหลของข้อมูลซ้ำๆ จะดึงดูดความสนใจของพวกเขา แต่ความสำเร็จในระยะยาวของแคมเปญนี้ยังคงไม่แน่นอน