Incidents associés
Un groupe de ransomware émergent nommé FunkSec est devenu célèbre après avoir revendiqué la responsabilité d'attaques sur plus de 80 victimes en décembre 2024, rapporte Check Point.
FunkSec semble être impliqué à la fois dans des activités de hacktivisme et de cybercriminalité et ses membres sont probablement des acteurs de la menace inexpérimentés qui cherchent actuellement à gagner en visibilité et en reconnaissance, montre l'enquête de Check Point sur le groupe.
Écrit en Rust, le malware de chiffrement de fichiers a probablement été créé avec l'aide de l'IA, par un développeur de malware inexpérimenté d'Algérie, qui a également téléchargé une partie du code source du ransomware en ligne, selon la société de cybersécurité.
Ouvrant sous le modèle commercial du ransomware-as-a-service (RaaS), le groupe se livre à une double extorsion, menaçant de divulguer des informations volées pour faire pression sur les victimes afin qu'elles paient une rançon.
FunkSec ajoute des victimes sur un site de fuite de données lancé en décembre 2024, qui propose également un outil personnalisé de déni de service distribué (DDoS), un outil intelligent de génération et de récupération de mots de passe et un module de calcul de réseau virtuel caché (hVNC) que le groupe prétend être totalement indétectable.
Le nom FunkSec a été initialement introduit en octobre 2024 par un acteur de la menace utilisant les surnoms de Scorpion et DesertStorm, et a ensuite été promu par un associé potentiel, El_Farado. D'autres acteurs de la menace - XTN, Blako et Bjorka - sont probablement liés à Scorpion et FunkSec.
Check Point a également découvert que les membres du groupe ont lié le développement du ransomware à l'IA dans certains de leurs messages publics, et qu'ils ont publié un chatbot IA basé sur Miniapps, pour soutenir leurs opérations malveillantes.
« Les individus derrière FunkSec semblent avoir largement exploité l'IA pour améliorer leurs capacités, comme en témoignent leurs publications et leurs outils. Leurs offres de scripts publics incluent de nombreux commentaires de code dans un anglais parfait (par opposition à un anglais très basique dans d'autres médias), probablement générés par un agent LLM », explique Check Point.
Une fois exécuté, le ransomware FunkSec exécute une série de commandes pour désactiver les fonctionnalités de sécurité telles que la protection en temps réel de Windows Defender, la journalisation des événements d'application et de sécurité et les restrictions d'exécution de PowerShell, et pour supprimer les sauvegardes de copie fantôme.
Le malware cible également environ 50 processus pour les arrêter, puis commence à rechercher des fichiers à chiffrer, en leur ajoutant l'extension « .funksec », après quoi il écrit une note de rançon sur le disque.
Le gang de ransomware exige des paiements de rançon peu élevés, parfois aussi bas que 10 000 $, et a été observé en train de vendre les informations prétendument volées à d'autres acteurs de la menace à des prix réduits.
En ce qui concerne l'implication du groupe dans des campagnes hacktivistes, qui pourraient avoir pour but de renforcer sa crédibilité, le ciblage de l'Inde et des États-Unis s'inscrit dans la lignée du mouvement Free Palestine. En outre, les hackers se sont associés à des groupes hacktivistes disparus tels que Ghost Algéria et Cyb3r Fl00d.
"Les fuites de données de FunkSec recyclent souvent des informations provenant de campagnes hacktivistes précédentes, jetant le doute sur l'authenticité de leurs déclarations. Malgré ces limitations, leurs opérations basées sur Tor et leurs faibles demandes de rançon ont attiré l'attention sur les forums de cybercriminalité", note Check Point.