Incidentes Asociados
*Consulte la investigación completa en Check Point. Este informe de incidentes omite cifras, gráficos, tablas y ciertos detalles. * Puntos clave ---------- - El grupo de ransomware FunkSec surgió a fines de 2024 y publicó más de 85 víctimas en diciembre, superando a todos los demás grupos de ransomware ese mes. - Los operadores de FunkSec parecen utilizar el desarrollo de malware asistido por IA que puede permitir que incluso los actores inexpertos produzcan y refinen rápidamente herramientas avanzadas. - Las actividades del grupo se encuentran en la línea entre el hacktivismo y el cibercrimen, lo que complica los esfuerzos para comprender sus verdaderas motivaciones. - Muchos de los conjuntos de datos filtrados del grupo son reciclados de campañas de hacktivismo anteriores, lo que genera dudas sobre la autenticidad de sus divulgaciones. - Los métodos actuales para evaluar las amenazas de los grupos de ransomware a menudo se basan en las propias afirmaciones de los actores, lo que resalta la necesidad de técnicas de evaluación más objetivas. Introducción ------------ El grupo de ransomware FunkSec surgió públicamente por primera vez a fines de 2024 y rápidamente ganó prominencia al publicar más de 85 víctimas declaradas, más que cualquier otro grupo de ransomware en el mes de diciembre. FunkSec, que se presenta como una nueva operación de Ransomware como Servicio (RaaS), parece no tener conexiones conocidas con bandas de ransomware identificadas previamente y actualmente hay poca información disponible sobre sus orígenes u operaciones. Nuestro análisis de la actividad del grupo indica que las impresionantes cifras de víctimas publicadas pueden ocultar una realidad más modesta tanto en términos de víctimas reales como del nivel de experiencia del grupo. La mayoría de las operaciones principales de FunkSec probablemente las lleven a cabo actores inexpertos. Además, es difícil verificar la autenticidad de la información filtrada, ya que el objetivo principal del grupo parece ser ganar visibilidad y reconocimiento. La evidencia sugiere que, en algunos casos, la información filtrada se recicló de filtraciones anteriores relacionadas con hacktivistas, lo que plantea dudas sobre su autenticidad. En este informe, exploramos los vínculos de FunkSec con la actividad hacktivista y proporcionamos un análisis profundo de las operaciones y herramientas públicas del grupo, incluido un cifrador personalizado probablemente desarrollado por un autor de malware relativamente inexperto con sede en Argelia. En un descubrimiento sorprendente, nuestros hallazgos indican que el desarrollo de las herramientas del grupo, incluido el cifrador, probablemente fue asistido por IA, lo que puede haber contribuido a su rápida iteración a pesar de la aparente falta de experiencia técnica del autor. Este caso resalta la línea cada vez más borrosa entre el hacktivismo y el cibercrimen, enfatizando los desafíos para distinguir uno del otro. Si tal distinción realmente existe, o si los operadores son conscientes o están preocupados por definirla, sigue siendo incierto. Más importante aún, también pone en duda la confiabilidad de los métodos actuales para evaluar el riesgo planteado por los grupos de ransomware, especialmente cuando esas evaluaciones se basan en las afirmaciones públicas de los propios actores. Antecedentes - Actividad de FunkSec ----------------------------- FunkSec es un grupo de ransomware emergente que lanzó su sitio de filtración de datos (DLS) en diciembre de 2024 para centralizar sus actividades de ransomware. El grupo utiliza tácticas de doble extorsión, combinando el robo de datos con el cifrado para presionar a las víctimas a pagar rescates. Su DLS incluye anuncios de infracciones, una herramienta DDoS desarrollada a medida y, más recientemente, un ransomware personalizado ofrecido como Ransomware-as-a-Service (RaaS). FunkSec ganó la atención del público debido a sus tácticas agresivas y la cantidad de sus objetivos, con más de 85 víctimas declaradas en poco más de un mes de actividad. En particular, FunkSec exigía rescates inusualmente bajos, a veces tan poco como $10,000, y vendía datos robados a terceros a precios reducidos. Las actividades del grupo se discuten ampliamente en los foros de delitos cibernéticos, lo que contribuye aún más a su creciente notoriedad. Un análisis más detallado de las actividades de FunkSec y las discusiones en la DarkWeb ofrece algunas pistas tentadoras sobre el grupo, a saber, que sus motivaciones parecen estar a caballo entre el hacktivismo y el cibercrimen. Curiosamente, algunos miembros vinculados a FunkSec participaron anteriormente en actividades de hacktivismo, agregando una capa compleja a sus operaciones y planteando preguntas sobre sus verdaderos objetivos. Esta mezcla de tácticas y antecedentes hizo de FunkSec un caso particularmente intrigante para una investigación más profunda. Ofertas de FunkSec ----------------- ### Ransomware Los operadores de FunkSec recientemente comenzaron a ofrecer su ransomware personalizado de rápida evolución. Con cada nueva versión, muchas de ellas publicadas con solo unos días de diferencia, su sitio web se actualiza para resaltar las características agregadas. En el anuncio de la última versión V1.5, los operadores se jactaron de su baja tasa de detección, compartiendo una captura de pantalla de VirusTotal que mostró que fue detectado por solo tres motores antivirus en el momento de la publicación. El archivo al que se hace referencia en su publicación (5226ea8e0f516565ba825a1bbed10020982c16414750237068b602c5b4ac6abd), llamado dev.exe, fue subido desde una fuente argelina y realmente fue detectado por solo 3 motores en el momento de la carga. El ransomware se identifica mediante el uso de la extensión ".funksec", escrito en Rust y compilado en el entorno de C:\Users\Abdellah\. Se proporciona un análisis completo del malware en la sección de Análisis técnico. En nuestro análisis de este ransomware, descubrimos todas sus versiones que apuntan a un esfuerzo de desarrollo en curso probablemente llevado a cabo por un autor de malware inexperto. Cabe destacar que la mayoría de las versiones fueron subidas desde Argelia, probablemente por el propio autor. El análisis de esas muestras revela dos variantes de las notas de rescate. El primero hace referencia a FunkSec y el segundo a Ghost Argelia, otra indicación de que el desarrollador es de Argelia. Curiosamente, el autor también subió partes del código fuente del malware, escrito en Rust. El archivo de código fuente, llamado *ransomware.rs*, tiene partes de la funcionalidad de los binarios compilados y fue subido a VirusTotal el 15 de diciembre desde una fuente argelina. Esta versión prototipo del ransomware es una implementación simplificada e incluye estas funciones: - Cifrar todos los archivos en el sistema del usuario (en el directorio C:\) usando una combinación de cifrado RSA y AES. Los archivos originales se eliminan después del cifrado y se crean versiones cifradas con una nueva extensión (.funksec). - Crear una nota de rescate (readme.me) informando al usuario de que sus archivos han sido cifrados y proporcionando instrucciones para pagar un rescate para obtener una clave de descifrado. - Modificar el entorno del sistema (por ejemplo, cambiar el fondo del escritorio a negro). - Verifique los privilegios administrativos/root antes de ejecutar. ### Otras herramientas gratuitas Además del ransomware, el grupo FunkSec ofrece herramientas adicionales, la mayoría de ellas comúnmente asociadas con la actividad hacktivista. - FDDOS, una "Herramienta DDoS Scorpion" de Python, es una herramienta de prueba de estrés de red diseñada para realizar ataques de denegación de servicio distribuido (DDoS) utilizando métodos de inundación HTTP o UDP. - JQRAXY_HVNC, un programa C++ de cliente y servidor HVNC, está diseñado para la administración de escritorios remotos, la automatización y la interacción de datos. - funkgenerate es una herramienta inteligente de generación y raspado de contraseñas diseñada para raspar correos electrónicos y contraseñas potenciales de URL dadas y generar nuevas sugerencias de contraseñas. Actores de amenazas asociados ------------------------ A fines de 2024, FunkSec surgió sin previo aviso y rápidamente dominó los feeds y monitores de víctimas de ransomware, aparentemente bajo la apariencia de hacktivismo. Al apuntar a India y Estados Unidos y alinearse con el movimiento "Palestina Libre", el grupo aprovechó múltiples personajes y alias para crear su imagen y ganar visibilidad. ### Scorpion Scorpion es el miembro más destacado de FunkSec y está asociado con la mayor parte de los perfiles públicos del grupo. Este actor usa múltiples alias, el más destacado es DesertStorm. El actor apareció por primera vez en el foro Breached, presentando el nombre de FunkSec a través de un video de YouTube publicado a través del canal "Scorpion" (@scorpioncybersec) en octubre de 2024. El video alegaba que FunkSec filtró una llamada entre el entonces candidato presidencial estadounidense Donald Trump y el primer ministro israelí Benjamin Netanyahu. Sin embargo, la grabación fue claramente generada por IA. El perfil de YouTube de DesertStorm indicaba su ubicación como Rusia, aunque la URL compartida del video sugería que se había subido desde Brasil. DesertStorm siguió publicando filtraciones en el foro Breached Forum (la mayoría sin verificar o sin atribuir a FunkSec) hasta que la cuenta fue baneada en noviembre de 2024. En una de las publicaciones de DesertStorm, compartieron sin darse cuenta capturas de pantalla comprometedoras que revelaban que su ubicación era Argelia, con configuraciones de teclado en francés. Un presunto asociado, XTN, alertó públicamente a DesertStorm sobre esta falla de seguridad operativa (OpSec), pero DesertStorm no eliminó la información comprometedora. Antes de la prohibición de DesertStorm, el actor comenzó a etiquetar a otros dos usuarios, El_Farado y Blako, en publicaciones del foro relacionadas con filtraciones y actividades de FunkSec. Mientras Blako permaneció inactivo en los foros, El Farado asumió gradualmente un papel destacado, promocionando FunkSec en los foros, compartiendo filtraciones y agregando el sitio .onion del grupo a su firma. El actor también está vinculado a una cuenta de Keybase con el nombre "Scorpionlord", donde figura como administrador de FunkSec. Esta cuenta está vinculada al sitio de vergüenza FunkSec y al usuario de DesertStorm en Breached Forum. Scorpionlord también es el nombre de usuario en otros dos foros de delitos cibernéticos donde se promocionó el sitio web de FunkSec (estos usuarios fueron eliminados desde entonces). Cabe destacar que el perfil de Keybase de El Farado se registró el mismo día que el de Scorpionlord, lo que sugiere un esfuerzo coordinado. Un tercer perfil de Keybase, Blako, se registró solo unos días después, lo que respalda aún más la idea de que todos estos personajes estaban estrechamente vinculados. ### El_farado El Farado surgió como una figura clave en las operaciones de FunkSec después de la prohibición de DesertStorm del Breached Forum en noviembre de 2024. El Farado asumió la tarea de promover FunkSec, asegurando su visibilidad en el foro y compartiendo supuestas filtraciones. Las conexiones clave con FunkSec incluyen: - Etiquetado por DesertStorm: Las publicaciones de DesertStorm frecuentemente etiquetaban a El Farado, vinculándolas directamente a FunkSec. - Registro de perfil de Keybase: La cuenta de Keybase de El Farado se registró el mismo día que la de Scorpionlord, lo que implica una fuerte conexión entre las dos personas. - Actividad promocional: El Farado promovió activamente el sitio .onion de FunkSec en Breached Forum y compartió filtraciones (a menudo poco confiables o recicladas). - Comportamiento de novato: El Farado ocasionalmente publicaba hilos que hacían preguntas básicas de piratería como "¿Qué hacen los piratas informáticos con los datos filtrados?" Este comportamiento sugiere inexperiencia, corroborando la admisión de Scorpion de la falta de conocimientos técnicos del grupo. ### XTN XTN está asociado con el servicio de "clasificación de datos" de FunkSec publicitado en su sitio web, mientras que el propósito de este servicio no está completamente claro. Su cuenta de Keybase, "xtnn", se conecta a su perfil de Breached Forum, donde describen su ubicación como "la habitación de El Farado" y hacen referencia a El Farado en su firma. XTN solidificó aún más su vínculo con FunkSec al advertir públicamente a DesertStorm sobre su lapso de OpSec. ### Bjorka Bjorka, un conocido hacktivista indonesio, tiene una conexión más turbia con FunkSec. Si bien las filtraciones atribuidas a FunkSec fueron republicadas por un usuario llamado Bjorka en DarkForums, no se verificó ninguna colaboración directa. Además, un canal de Telegram llamado "Bjorkanism" se atribuyó el crédito por algunas operaciones de FunkSec, refiriéndose a ellas como "Bjorkanism Ransomware (FunkSec)". Estas afirmaciones no están respaldadas por las plataformas oficiales de Bjorka, lo que sugiere intentos de suplantar a Bjorka o, como mucho, una afiliación vaga. ### Grupos hacktivistas relacionados FunkSec intentó asociarse con varios grupos hacktivistas desaparecidos: - Ghost Algéria: Referenciado en una nota de ransomware casi idéntica a la de FunkSec. - Cyb3r Fl00d: Una captura de pantalla desfigurada de este grupo se incluyó en la actividad relacionada con FunkSec, con FunkSec afirmando que Cyb3r Fl00d era su "antiguo grupo". Estas asociaciones probablemente representan intentos de aumentar la credibilidad de FunkSec alineándose con nombres conocidos en lugar de membresía o colaboración directa. Capacidades asistidas por IA ------------------------ Las personas detrás de FunkSec parecen haber aprovechado ampliamente la IA para mejorar sus capacidades, como lo evidencian sus publicaciones y herramientas. Sus ofertas de scripts públicos incluyen extensos comentarios de código con un inglés perfecto (a diferencia del inglés muy básico en otros medios), probablemente generados por un agente LLM. Se ven patrones similares en el código fuente de Rust vinculado al ransomware del grupo, lo que sugiere que puede haber sido desarrollado con asistencia de IA. En algunos de sus mensajes publicados, el grupo vinculó específicamente el desarrollo de su ransomware a agentes asistidos por IA, probablemente proporcionándole el código fuente del ransomware y simplemente compartiendo el resultado en su sitio. El uso de tales herramientas se alinea estrechamente con las afirmaciones públicas del grupo, ya que también lanzaron un chatbot de IA basado en Miniapps para respaldar sus operaciones. Miniapps es una plataforma que facilita la creación y el uso de aplicaciones de IA y chatbots, a menudo sin las restricciones que se encuentran en sistemas más populares como ChatGPT. El bot desarrollado por FunkSec está diseñado específicamente para respaldar actividades maliciosas. Análisis técnico ------------------ Para comprender mejor el malware, examinamos una de las muestras circuladas. Se trata de un binario de Rust despojado, lo que dificulta la ingeniería inversa eficaz. En particular, está sujeto a una inserción agresiva en línea del código de la biblioteca (consulte nuestra publicación anterior, Inside Akira Ransomware's Rust Experiment para una demostración clara de cómo funciona esto y cómo esto complica las tareas de ingeniería inversa), y contiene muchas implementaciones de rasgos que un desensamblador puede no reconocer de fábrica, muchas de las cuales son envoltorios para, por ejemplo, WriteFileEx o CryptGenRandom. Sin embargo, un análisis cuidadoso revela algunos detalles interesantes. En general, nos sorprendió principalmente la cantidad de redundancia en el binario. El flujo de control parece repetirse y llamar a funciones una y otra vez desde varias rutas de ejecución; en un ransomware típico, estas solo se llamarían una vez. En todo el binario, muchas de estas funciones se llaman dos veces, o incluso tres o cuatro veces; la rutina 'deshabilitar seguridad', vista anteriormente, se llama dos veces en el mismo bloque básico. La función recursiva que se muestra a continuación, que itera en todos los subdirectorios de un directorio determinado y cifra los archivos de destino que contiene, se llama un total de cinco veces en el binario. Parte de la repetición se debe a un código duplicado que invoca la lógica de "cifrar todos los directorios" con diferentes constantes codificadas cada vez, como esta invocación que utiliza la constante RansomwarePassword123. Aparte de la funcionalidad duplicada, el flujo de ejecución principal del malware primero llama a la secuencia de operaciones que se vio anteriormente ("deshabilitar seguridad", etc.) y luego transfiere la ejecución a una función de "cifrar todas las unidades". La secuencia de operaciones comienza verificando si tiene privilegios elevados (intentando ejecutar net session). De lo contrario, el binario intenta relanzarse con privilegios elevados, utilizando el método descrito aquí (start-process -wait -Verb runas -filepath '%~nx0' -ArgumentList '<arguments>'). Resumen ------- Este informe proporciona un análisis en profundidad de FunkSec, un grupo de ransomware con aparentes tendencias hacktivistas. El cifrador personalizado, desarrollado por un autor argelino inexperto, presenta elementos asistidos por IA que permiten un rápido desarrollo y mejora. Las filtraciones de datos de FunkSec a menudo reciclan información de campañas hacktivistas anteriores, lo que pone en duda la autenticidad de sus afirmaciones. A pesar de estas limitaciones, sus operaciones basadas en Tor y las bajas demandas de rescate han atraído una amplia atención en los foros de delitos cibernéticos. Las operaciones de FunkSec resaltan el papel de la IA en el desarrollo de malware, la superposición entre el hacktivismo y el ciberdelito y los desafíos para verificar los datos filtrados. También plantea interrogantes sobre cómo evaluamos la amenaza que plantean los grupos de ransomware, ya que a menudo nos basamos en las propias afirmaciones de los grupos. Estos hallazgos reflejan un panorama de amenazas cambiante, en el que incluso los actores poco cualificados pueden hacer uso de herramientas accesibles para proyectar una sombra muy grande. Harmony Endpoint proporciona protección integral de endpoints con el más alto nivel de seguridad, crucial para evitar brechas de seguridad y compromiso de datos, y protege contra esta amenaza.