Програма-вимагач FunkSec
Дослідники кібербезпеки нещодавно виявили FunkSec, сімейство програм-вимагачів за допомогою штучного інтелекту, яке з'явилося наприкінці 2024 року. Незважаючи на те, що група є відносно новою, вона вже вплинула на понад 85 жертв у кількох країнах. Їхні операції поєднують крадіжку даних із шифруванням у схемі подвійного вимагання, але те, що відрізняє їх від інших, — це надзвичайно низькі вимоги щодо викупу, іноді всього 10 000 доларів. Замість того, щоб покладатися виключно на виплати викупу, FunkSec також продає викрадені дані за зниженими цінами.
Зміст
Розширення операцій через центральний вузол
У грудні 2024 року FunkSec запустила власний сайт витоку даних (DLS), централізувавши всю свою діяльність. Платформа містить оголошення про порушення, спеціалізований розподілений інструмент відмови в обслуговуванні (DDoS) та спеціалізовану пропозицію групи щодо програм-вимагачів у рамках моделі Ransomware-as-a-Service (RaaS). Ця інфраструктура підкреслює спроби FunkSec завоювати довіру в кіберзлочинному підпіллі.
Глобальний охоплення, актори-початківці
Жертви переважно знаходяться в США, Індії, Італії, Бразилії, Ізраїлі, Іспанії та Монголії. Незважаючи на швидке розширення, аналіз показує, що FunkSec може бути справою рук відносно недосвідчених операторів. Схоже, що група переробляє дані зі старих витоків хактивістів, намагаючись підвищити свою репутацію.
Цікаво, що FunkSec також виконує функції брокерської служби даних, пропонуючи викрадену інформацію зацікавленим покупцям за ціною від 1000 до 5000 доларів. Ця подвійна роль ще більше розмиває межу між кіберзлочинністю та хактивізмом.
Політичні зв’язки та зв’язки з хактивістами
Група намагалася приєднатися до руху «Вільна Палестина», посилаючись на нині неіснуючі хактивістські колективи, такі як Ghost Algeria та Cyb3r Fl00d. Деякі члени FunkSec також демонструють прямі хактивістські тенденції, підкріплюючи постійну конвергенцію між політичним активізмом, організованою кіберзлочинністю та операціями у стилі національної держави.
Ключові фігури FunkSec
Дослідники виявили кількох відомих осіб, пов'язаних з FunkSec:
- Scorpion (він же DesertStorm) – актор з Алжиру, який просуває групу на андеграундних форумах, таких як Breached Forum.
- El_farado – став основним промоутером після того, як DesertStorm було заблоковано на Breached Forum.
- XTN – Вважається, що керує невідомим сервісом «сортування даних».
- Блако – часто згадується разом з Ель_фарадо у DesertStorm.
- Бйорка – індонезійський хактивіст, чий псевдонім пов'язують з витоками FunkSec на DarkForums, або як колаборант, або як спроба видати себе за іншу особу.
Інструменти та методи на основі штучного інтелекту
Інструментарій FunkSec виходить за рамки програм-вимагачів, включаючи утиліти для керування віддаленим робочим столом (JQRAXY_HVNC), генерації паролів (funkgenerate) та DDoS-атак. Дослідники вважають, що розробці їхнього шифрувальника програм-вимагачів та пов'язаних з ним інструментів сприяв штучний інтелект, що дозволило швидко виконувати ітерації, незважаючи на обмежені технічні знання.
Остання версія, FunkSec V1.5, написана на Rust. Попередні варіанти, завантажені переважно з Алжиру, містили посилання на FunkLocker та Ghost Algeria, що свідчить про зв'язок Алжиру з основним розробником.
Технічна поведінка шкідливого програмного забезпечення
Під час запуску програма-вимагач FunkSec налаштована на:
- Підвищити привілеї.
- Вимкніть елементи керування безпекою.
- Видалити резервні копії тіньових копій.
- Завершіть жорстко запрограмований список процесів і служб.
- Рекурсивно шифрувати файли у всіх каталогах.
Цей операційний ланцюжок підкреслює їхню здатність порушувати роботу систем, незважаючи на їхній новачський досвід.
Розмита межа між ідеологією та прибутком
2024 рік ознаменувався значним зростанням операцій з програмами-вимагачами в усьому світі, а геополітичні конфлікти ще більше підживлювали активність хактивістів. FunkSec втілює це тривожне поєднання політичної риторики та фінансової мотивації, утвердившись як одна з найактивніших груп вимагачів у грудні 2024 року. Хоча їхня залежність від штучного інтелекту та перероблених витоків інформації привернула до них увагу, довгостроковий успіх їхньої кампанії залишається невизначеним.
