FunkSec, un ransomware susținut de AI, cu funcții protejate prin parolă

FunkSec — un grup ransomware care ilustrează viitorul criminalității cibernetice de masă, are un mod de operare susținut de inteligență artificială, multifuncțional, extrem de adaptabil și orientat spre volum, cu răscumpărări pornind de la numai 10.000 de dolari, pentru a maximiza profiturile.

Ponderea utilizatorilor afectați de atacuri ransomware la nivel global a crescut la 0,44% între 2023 și 2024, înregistrând o creștere de 0,02 puncte procentuale, potrivit raportului Kaspersky „State of Ransomware”.

Deși acest procent poate părea modest comparativ cu alte amenințări cibernetice. Însă FunkSec a apărut ca o amenințare deosebit de îngrijorătoare. Activ de mai puțin de un an, FunkSec a depășit rapid mulți actori consacrați, vizând sectoare guvernamentale, tehnologice, financiare și educaționale din Europa și Asia.

Ceea ce diferențiază FunkSec este arhitectura sa tehnică sofisticată și dezvoltarea asistată de AI. Grupul integrează criptarea completă și exfiltrarea agresivă a datelor într-un singur fișier executabil scris în Rust, capabil să dezactiveze peste 50 de procese pe dispozitivul victimei și dotat cu funcții de auto-curățare pentru a evita detectarea. Dincolo de funcționalitățile clasice ransomware, FunkSec și-a extins arsenalul pentru a include un generator de parole și un instrument DDoS de bază — ambele prezentând semne clare de generare prin LLM-uri.

FunkSec reflectă transformarea criminalității cibernetice de masă, care în prezent poate combina instrumente și tactici avansate. Are anumite caracteristici definitorii ale operațiunilor sale.

Funcționalitate controlată prin parolă

Ransomware-ul FunkSec include un mecanism unic de control bazat pe parolă. Fără parolă, malware-ul efectuează o criptare de bază a fișierelor. Cu parolă, se activează un proces suplimentar de exfiltrare a datelor sensibile, pe lângă criptare.

FunkSec reunește criptarea completă, exfiltrarea locală și funcțiile de auto-curățare într-un singur binar Rust — fără fișiere auxiliare sau scripturi complementare. Acest nivel de integrare este rar și oferă afiliaților un instrument ușor de folosit, gata de lansat de oriunde.

FunkSec – Utilizarea AI în dezvoltare

Analiza codului arată că FunkSec folosește activ inteligența artificială generativă pentru a-și crea instrumentele. Multe secțiuni din cod par generate automat, nu scrise manual. Printre semne: comentarii generice de tipul „placeholder for actual check” și inconsecvențe tehnice, cum ar fi comenzi pentru sisteme de operare diferite care nu se aliniază corect.

De asemenea, prezența unor funcții declarate dar neutilizate indică faptul că modelele de limbaj combină fragmente de cod fără a elimina elementele redundante.

FunkSec cere sume neobișnuit de mici pentru răscumpărare, uneori chiar și de 10.000 de dolari, completate de vânzarea datelor furate către terți, la prețuri reduse. Această strategie este concepută pentru a permite un volum mare de atacuri, ajutând grupul să-și construiască rapid o reputație în mediul infracțional cibernetic. Spre deosebire de grupările tradiționale care solicită milioane, FunkSec aplică un model low-cost, high-frequency, bazat pe automatizare și AI pentru eficiență și scalare.

Extinderea dincolo de ransomware

FunkSec și-a extins capabilitățile dincolo de binarul ransomware. Site-ul său dark leak (DLS) găzduiește și alte instrumente, inclusiv un generator de parole în Python, destinat atacurilor brute-force și password spraying, precum și un instrument DDoS de bază.

Folosește tehnici avansate de evitare a detectării, complicând analiza criminalistică. Ransomware-ul poate opri peste 50 de procese și servicii pentru a asigura criptarea completă a fișierelor vizate. În plus, include un mecanism de rezervă care îi permite să execute anumite comenzi chiar și atunci când utilizatorul care îl lansează nu are suficiente privilegii.

Sursa: Kaspersky