Los investigadores de ciberseguridad han arrojado luz sobre una naciente familia de ransomware asistida por inteligencia artificial (IA) llamada funksec que surgió a finales de 2024 y se ha cobrado más de 85 víctimas hasta la fecha.
“El grupo utiliza tácticas de doble extorsión, combinando el robo de datos con el cifrado para presionar a las víctimas a pagar rescates”, Check Point Research dicho en un nuevo informe compartido con The Hacker News. “En particular, FunkSec exigió rescates inusualmente bajos, a veces tan solo 10.000 dólares, y vendió datos robados a terceros a precios reducidos”.
FunkSec lanzó su sitio de fuga de datos (DLS) en diciembre de 2024 para “centralizar” sus operaciones de ransomware, destacando anuncios de infracciones, una herramienta personalizada para realizar ataques distribuidos de denegación de servicio (DDoS) y un ransomware personalizado como parte de un ransomware. modelo como servicio (RaaS).
La mayoría de las víctimas se encuentran en Estados Unidos, India, Italia, Brasil, Israel, España y Mongolia. El análisis de Check Point de la actividad del grupo ha revelado que puede ser el trabajo probable de actores novatos que buscan atraer notoriedad reciclando la información filtrada de filtraciones anteriores relacionadas con hacktivistas.
De acuerdo a Martín pescadorFunkSec es notable por el hecho de que funciona como grupo de ransomware y corredor de datos, vendiendo datos robados a compradores interesados por entre 1.000 y 5.000 dólares.
Se ha determinado que algunos miembros del grupo RaaS participaron en actividades hacktivistas, lo que subraya una continua confusión de los límites entre el hacktivismo y el ciberdelito, tal como lo hacen los actores de los estados-nación y los ciberdelincuentes organizados. cada vez más exhibiendo una “inquietante convergencia de tácticas, técnicas e incluso objetivos”.
También afirman tener como objetivo a India y Estados Unidos, alineándose con el movimiento “Palestina Libre” e intentando asociarse con entidades hacktivistas ya desaparecidas como Ghost Argelia y Cyb3r Fl00d. Algunos de los actores destacados asociados con FunkSec se enumeran a continuación:
- Un presunto actor radicado en Argelia llamado Scorpion (también conocido como DesertStorm) que ha promocionado al grupo en foros clandestinos como Breached Forum.
- El_farado, quien surgió como una figura principal en la publicidad de FunkSec después de la prohibición de DesertStorm en Breached Forum.
- XTN, un probable asociado que participa en un servicio de “clasificación de datos” aún desconocido
- Blako, que ha sido etiquetado por DesertStorm junto con El_farado
- Bjorka, un conocido hacktivista indonesio cuyo alias se ha utilizado para reclamar filtraciones atribuidas a FunkSec en DarkForums, ya sea apuntando a una afiliación vaga o a sus intentos de hacerse pasar por FunkSec.
La posibilidad de que el grupo también esté incursionando en actividades hacktivistas se evidencia por la presencia de herramientas de ataque DDoS, así como aquellas relacionadas con la gestión remota de escritorios (JQRAXY_HVNC) y la generación de contraseñas (funkgenerate).
“El desarrollo de las herramientas del grupo, incluido el cifrador, probablemente fue asistido por IA, lo que puede haber contribuido a su rápida iteración a pesar de la aparente falta de experiencia técnica del autor”, señaló Check Point.
La última versión del ransomware, denominada FunkSec V1.5, está escrita en Rust, con el artefacto subido a la plataforma VirusTotal desde Argelia. Un examen de versiones anteriores del malware sugiere que el actor de la amenaza también es de Argelia debido a referencias como FunkLocker y Ghost Argelia.
El binario del ransomware está configurado para iterar recursivamente sobre todos los directorios y cifrar los archivos de destino, pero no sin antes elevar los privilegios y tomar medidas para desactivar los controles de seguridad, eliminar las instantáneas de seguridad y finalizar una lista codificada de procesos y servicios.
“2024 fue un año muy exitoso para los grupos de ransomware, mientras que, en paralelo, los conflictos globales también alimentaron la actividad de diferentes grupos hacktivistas”, dijo en un comunicado Sergey Shykevich, gerente del grupo de inteligencia de amenazas de Check Point Research.
“FunkSec, un nuevo grupo que surgió últimamente como el grupo de ransomware más activo en diciembre, desdibuja la línea entre hacktivismo y cibercrimen. Impulsado tanto por agendas políticas como por incentivos financieros, FunkSec aprovecha la IA y reutiliza viejas filtraciones de datos para establecer una nueva marca de ransomware. aunque el éxito real de sus actividades sigue siendo muy cuestionable”.
El desarrollo se produce cuando Forescout detalló un ataque de Hunters International que probablemente aprovechó Oracle WebLogic Server como punto de entrada inicial para colocar un shell web de China Chopper, que luego se utilizó para realizar una serie de actividades posteriores a la explotación que finalmente condujeron al despliegue del ransomware.
“Después de obtener acceso, los atacantes realizaron reconocimiento y movimiento lateral para mapear la red y escalar privilegios”, Forescout dicho. “Los atacantes utilizaron una variedad de herramientas administrativas y de equipos rojos comunes para el movimiento lateral”.
About the Author
