Incidentes Asociados
Los investigadores de ciberseguridad han arrojado luz sobre una familia naciente de ransomware asistido por inteligencia artificial (IA) llamada FunkSec, que surgió a finales de 2024, ha causado más de 85 víctimas hasta la fecha.
"El grupo utiliza tácticas de doble extorsión, combinando el robo de datos con el cifrado para presionar a las víctimas a pagar rescates", afirmó Check Point Research [(https://research.checkpoint.com/2025/funksec-alleged-top-ransomware-group-powered-by-ai/) en un nuevo informe compartido con The Hacker News. "Cabe destacar que FunkSec exigía rescates inusualmente bajos, a veces tan poco como 10.000 dólares, y vendía datos robados a terceros a precios reducidos".
FunkSec lanzó su sitio de filtración de datos (DLS) en diciembre de 2024 para "centralizar" sus operaciones de ransomware, destacando los anuncios de infracciones, una herramienta personalizada para realizar ataques distribuidos de denegación de servicio (DDoS) y un ransomware a medida como parte de un modelo de ransomware como servicio (RaaS).
La mayoría de las víctimas se encuentran en Estados Unidos, India, Italia, Brasil, Israel, España y Mongolia. El análisis de Check Point sobre la actividad del grupo ha revelado que es probable que se trate del trabajo de actores novatos que buscan ganar notoriedad reciclando la información filtrada de filtraciones anteriores relacionadas con hacktivistas.
Según Halcyon, FunkSec es notable por el hecho de que funciona como un grupo de ransomware y un corredor de datos, vendiendo datos robados a compradores interesados por entre 1.000 y 5.000 dólares.
Se ha determinado que algunos miembros del grupo RaaS participaron en actividades de hacktivismo, lo que pone de relieve que los límites entre el hacktivismo y el cibercrimen siguen desdibujándose, al mismo tiempo que los actores de los estados-nación y los cibercriminales organizados muestran cada vez más una "convergencia inquietante de tácticas, técnicas e incluso objetivos".
También afirman tener como blanco a India y Estados Unidos, alineándose con el movimiento "Palestina Libre" e intentando asociarse con entidades hacktivistas ahora desaparecidas como Ghost Argelia y Cyb3r Fl00d. Algunos de los actores destacados asociados con FunkSec se enumeran a continuación:
- Un supuesto actor con sede en Argelia llamado Scorpion (también conocido como DesertStorm) que ha promocionado al grupo en foros clandestinos como Breached Forum
- El_farado, que surgió como una figura principal que promocionaba a FunkSec después de que DesertStorm fuera baneado de Breached Forum
- XTN, un posible asociado que está involucrado en un servicio de "clasificación de datos" aún desconocido
- Blako, que ha sido etiquetado por DesertStorm junto con El_farado
- Bjorka, un conocido hacktivista indonesio cuyo alias se ha utilizado para reclamar filtraciones atribuidas a FunkSec en DarkForums, ya sea apuntando a una afiliación vaga o a sus intentos de hacerse pasar por FunkSec
La posibilidad de que el grupo también pueda estar incursionando en la actividad hacktivista se evidencia por la presencia de herramientas de ataque DDoS, así como las relacionadas con la gestión de escritorios remotos (JQRAXY_HVNC) y la generación de contraseñas (funkgenerate).
"El desarrollo de las herramientas del grupo, incluido el cifrador, probablemente fue asistido por IA, lo que puede haber contribuido a su rápida iteración a pesar de la aparente falta de experiencia técnica del autor", señaló Check Point.
La última versión del ransomware, llamada FunkSec V1.5, está escrita en Rust, con el artefacto subido a la plataforma VirusTotal desde Argelia. Un examen de versiones anteriores del malware revela referencias a FunkLocker y Ghost Argelia en las notas del ransomware. La mayoría de estos ejemplares fueron subidos desde Argelia y posiblemente por el propio desarrollador, lo que sugiere que el actor de la amenaza es de ese país.
El binario del ransomware está configurado para iterar recursivamente sobre todos los directorios y cifrar los archivos de destino, pero no antes de elevar los privilegios y tomar medidas para desactivar los controles de seguridad, eliminar las copias de seguridad de las instantáneas y terminar una lista de procesos y servicios codificada de forma rígida.
"2024 fue un año muy exitoso para los grupos de ransomware, mientras que, en paralelo, los conflictos globales también impulsaron la actividad de diferentes grupos de hacktivistas", dijo Sergey Shykevich, gerente del grupo de inteligencia de amenazas en Check Point Research, en un comunicado.
"FunkSec, un nuevo grupo que surgió recientemente como el grupo de ransomware más activo en diciembre, difumina las líneas entre el hacktivismo y el cibercrimen. Impulsado tanto por agendas políticas como por incentivos financieros, FunkSec aprovecha la IA y reutiliza antiguas filtraciones de datos para establecer una nueva marca de ransomware, aunque el éxito real de sus actividades sigue siendo muy cuestionable".
El desarrollo se produce después de que Forescout detallara un ataque de Hunters International que probablemente aprovechó Oracle WebLogic Server como punto de entrada inicial para lanzar un shell web de China Chopper, que luego se utilizó para realizar una serie de actividades posteriores a la explotación que finalmente llevaron a la implementación del ransomware.
"Después de obtener acceso, los atacantes realizaron un reconocimiento y un movimiento lateral para mapear la red y escalar privilegios", dijo Forescout [(https://www.forescout.com/blog/hunters-international-ransomware-what-we-learned-from-an-oracle-ws-attack/). "Los atacantes utilizaron una variedad de herramientas administrativas y de equipos rojos comunes para el movimiento lateral".