Incidentes Asociados
Un grupo emergente de ransomware llamado FunkSec ha saltado a la fama después de reivindicar la responsabilidad de los ataques a más de 80 víctimas en diciembre de 2024, según informa Check Point.
FunkSec parece estar involucrado tanto en actividades de hacktivismo como de ciberdelincuencia y es probable que sus miembros sean actores de amenazas inexpertos que actualmente buscan ganar visibilidad y reconocimiento, según muestra la investigación de Check Point sobre el grupo.
Escrito en Rust, el malware de cifrado de archivos probablemente fue creado con la ayuda de IA, por un desarrollador de malware inexperto de Argelia, que también subió parte del código fuente del ransomware en línea, dice la empresa de ciberseguridad.
El grupo, que opera bajo el modelo de negocio de ransomware como servicio (RaaS), se dedica a la doble extorsión, amenazando con revelar información robada para presionar a las víctimas a pagar un rescate.
FunkSec está sumando víctimas a un sitio de filtración de datos que se lanzó en diciembre de 2024, que también cuenta con una herramienta personalizada de denegación de servicio distribuido (DDoS), una herramienta inteligente de generación y extracción de contraseñas y un módulo de computación de red virtual (hVNC) oculto que el grupo afirma que no es detectado en absoluto.
El nombre FunkSec fue introducido inicialmente en octubre de 2024 por un actor de amenazas que usaba los apodos de Scorpion y DesertStorm, y luego fue promovido por un posible asociado, El_Farado. Es probable que otros actores de amenazas (XTN, Blako y Bjorka) estén conectados con Scorpion y FunkSec.
Check Point también descubrió que los miembros del grupo vincularon el desarrollo del ransomware con la IA en algunos de sus mensajes públicos y que lanzaron un chatbot de IA basado en Miniapps para respaldar sus operaciones maliciosas.
"Las personas detrás de FunkSec parecen haber aprovechado ampliamente la IA para mejorar sus capacidades, como lo demuestran sus publicaciones y herramientas. Sus ofertas de scripts públicos incluyen comentarios de código extensos con un inglés perfecto (a diferencia del inglés muy básico en otros medios), probablemente generados por un agente LLM", dice Check Point.
Cuando se ejecuta, el ransomware FunkSec ejecuta una serie de comandos para deshabilitar funciones de seguridad como la protección en tiempo real de Windows Defender, el registro de eventos de seguridad y aplicaciones y las restricciones de ejecución de PowerShell, y para eliminar las copias de seguridad de instantáneas.
El malware también ataca a unos 50 procesos para su terminación y luego comienza a buscar archivos para cifrar, agregándoles la extensión '.funksec', después de lo cual escribe una nota de rescate en el disco.
La banda de ransomware exige pagos de rescate bajos, a veces tan bajos como $10,000, y se observó que vendía la información supuestamente robada a otros actores de amenazas a precios reducidos.
En cuanto a la participación del grupo en campañas de hacktivismo, que podrían apuntar a aumentar su credibilidad, el hecho de apuntar a India y Estados Unidos se alinea con el movimiento Free Palestine. Además, los piratas informáticos se han asociado con grupos de hacktivismo extintos como Ghost Algéria y Cyb3r Fl00d.
"Las filtraciones de datos de FunkSec a menudo reciclan información de campañas de hacktivismo anteriores, lo que pone en duda la autenticidad de sus afirmaciones. A pesar de estas limitaciones, sus operaciones basadas en Tor y las bajas demandas de rescate han atraído una amplia atención en los foros de ciberdelincuencia", señala Check Point.