Phần mềm tống tiền FunkSec

Các nhà nghiên cứu an ninh mạng gần đây đã phát hiện ra FunkSec, một họ mã độc tống tiền được hỗ trợ bởi AI, xuất hiện vào cuối năm 2024. Mặc dù còn khá mới, nhóm này đã tấn công hơn 85 nạn nhân trên nhiều quốc gia. Hoạt động của chúng kết hợp đánh cắp dữ liệu với mã hóa trong một âm mưu tống tiền kép, nhưng điều khiến chúng khác biệt là mức tiền chuộc thấp bất thường, đôi khi chỉ khoảng 10.000 đô la. Thay vì chỉ dựa vào tiền chuộc, FunkSec còn bán dữ liệu bị đánh cắp với giá ưu đãi.

Mở rộng hoạt động thông qua một trung tâm

Vào tháng 12 năm 2024, FunkSec đã ra mắt trang web rò rỉ dữ liệu (DLS) riêng, tập trung hóa mọi hoạt động của mình. Nền tảng này lưu trữ các thông báo vi phạm, một công cụ từ chối dịch vụ phân tán (DDoS) tùy chỉnh và dịch vụ ransomware riêng của nhóm theo mô hình Ransomware-as-a-Service (RaaS). Cơ sở hạ tầng này làm nổi bật nỗ lực của FunkSec trong việc xây dựng uy tín trong thế giới tội phạm mạng ngầm.

Tiếp cận toàn cầu, Diễn viên mới vào nghề

Nạn nhân chủ yếu ở Mỹ, Ấn Độ, Ý, Brazil, Israel, Tây Ban Nha và Mông Cổ. Mặc dù mở rộng nhanh chóng, phân tích cho thấy FunkSec có thể là sản phẩm của những kẻ tấn công tương đối thiếu kinh nghiệm. Nhóm này dường như đang tái sử dụng dữ liệu từ các vụ rò rỉ trước đó của các hacker nhằm mục đích nâng cao danh tiếng.

Điều thú vị là FunkSec còn kiêm luôn vai trò môi giới dữ liệu, cung cấp thông tin bị đánh cắp cho những người mua quan tâm với giá từ 1.000 đến 5.000 đô la. Vai trò kép này càng làm mờ ranh giới giữa tội phạm mạng và hoạt động hacktivism.

Mối quan hệ chính trị và liên kết Hacktivist

Nhóm này đã nỗ lực liên kết với phong trào "Palestine Tự do" trong khi nhắc đến các nhóm hacker hoạt động hiện đã không còn tồn tại như Ghost Algeria và Cyb3r Fl00d. Một số thành viên của FunkSec cũng thể hiện rõ khuynh hướng hacker hoạt động, củng cố sự hội tụ đang diễn ra giữa hoạt động chính trị, tội phạm mạng có tổ chức và các hoạt động theo mô hình nhà nước dân tộc.

Những nhân vật chủ chốt đằng sau FunkSec

Các nhà nghiên cứu đã xác định được một số cá nhân nổi bật có liên quan đến FunkSec:

• Scorpion (hay còn gọi là DesertStorm) – Một diễn viên người Algeria quảng bá cho nhóm trên các diễn đàn ngầm như Breated Forum.
• El_farado – Nổi lên như một nhà quảng bá chính sau khi DesertStorm bị cấm khỏi Diễn đàn Breached.
• XTN – Được cho là quản lý một dịch vụ 'sắp xếp dữ liệu' không xác định.
• Blako – Thường được DesertStorm nhắc đến cùng với El_farado.
• Bjorka – Một hacker người Indonesia có biệt danh liên quan đến vụ rò rỉ FunkSec trên DarkForums, có thể là cộng tác viên hoặc là một nỗ lực mạo danh.

Công cụ và kỹ thuật do AI thúc đẩy

Bộ công cụ của FunkSec không chỉ giới hạn ở ransomware, mà còn bao gồm các tiện ích quản lý máy tính từ xa (JQRAXY_HVNC), tạo mật khẩu (funkgenerate) và tấn công DDoS. Các nhà nghiên cứu tin rằng việc phát triển bộ mã hóa ransomware và các công cụ liên quan của họ đã được hỗ trợ bởi AI, cho phép lặp lại nhanh chóng mặc dù chuyên môn kỹ thuật còn hạn chế.

Phiên bản mới nhất, FunkSec V1.5, được viết bằng Rust. Các phiên bản trước đó, chủ yếu được tải lên từ Algeria, chứa các tham chiếu đến FunkLocker và Ghost Algeria, cho thấy mối liên hệ giữa Algeria và nhà phát triển cốt lõi.

Hành vi kỹ thuật của phần mềm độc hại

Khi được thực thi, phần mềm tống tiền FunkSec được cấu hình để:

• Nâng cao đặc quyền.
• Vô hiệu hóa các biện pháp kiểm soát bảo mật.
• Xóa bản sao lưu shadow copy.
• Kết thúc danh sách các tiến trình và dịch vụ được mã hóa cứng.
• Mã hóa đệ quy các tập tin trên tất cả các thư mục.

Chuỗi hoạt động này nhấn mạnh khả năng phá vỡ hệ thống của họ mặc dù họ không có kinh nghiệm.

Một ranh giới mờ nhạt giữa ý thức hệ và lợi nhuận

Năm 2024 đánh dấu sự tăng trưởng đáng kể của các hoạt động ransomware trên toàn cầu, với các xung đột địa chính trị tiếp tục thúc đẩy hoạt động hacktivist. FunkSec là hiện thân của sự pha trộn đáng lo ngại giữa luận điệu chính trị và động cơ tài chính, khẳng định mình là một trong những nhóm ransomware hoạt động tích cực nhất vào tháng 12 năm 2024. Mặc dù việc chúng dựa vào AI và các vụ rò rỉ tái chế đã thu hút sự chú ý, nhưng thành công lâu dài của chiến dịch vẫn chưa chắc chắn.