Incidents associés
*Veuillez consulter l'enquête complète sur Check Point. Ce rapport d'incident omet les chiffres, les graphiques, les tableaux et certains détails. * Points clés ---------- - Le groupe de ransomware FunkSec est apparu fin 2024 et a publié plus de 85 victimes en décembre, surpassant tous les autres groupes de ransomware ce mois-là. - Les opérateurs de FunkSec semblent utiliser le développement de logiciels malveillants assisté par l'IA qui peut permettre même aux acteurs inexpérimentés de produire et d'affiner rapidement des outils avancés. - Les activités du groupe chevauchent la frontière entre l'hacktivisme et la cybercriminalité, ce qui complique les efforts pour comprendre leurs véritables motivations. - De nombreux ensembles de données divulgués par le groupe sont recyclés à partir de campagnes d'hacktivisme précédentes, ce qui soulève des doutes quant à l'authenticité de leurs divulgations. - Les méthodes actuelles d'évaluation des menaces des groupes de ransomware s'appuient souvent sur les propres déclarations des acteurs, soulignant la nécessité de techniques d'évaluation plus objectives. Introduction ------------ Le groupe de ransomware FunkSec est apparu publiquement pour la première fois fin 2024 et a rapidement gagné en notoriété en publiant plus de 85 victimes revendiquées --- plus que tout autre groupe de ransomware au mois de décembre. Se présentant comme une nouvelle opération de Ransomware-as-a-Service (RaaS), FunkSec semble n'avoir aucun lien connu avec des gangs de ransomware précédemment identifiés, et peu d'informations sont actuellement disponibles sur ses origines ou ses opérations. Notre analyse de l'activité du groupe indique que le nombre impressionnant de victimes publiées peut masquer une réalité plus modeste, tant en termes de victimes réelles que de niveau d'expertise du groupe. La plupart des opérations principales de FunkSec sont probablement menées par des acteurs inexpérimentés. En outre, il est difficile de vérifier l'authenticité des informations divulguées, car l'objectif principal du groupe semble être de gagner en visibilité et en reconnaissance. Les preuves suggèrent que dans certains cas, les informations divulguées ont été recyclées à partir de fuites précédentes liées aux hacktivistes, ce qui soulève des questions sur leur authenticité. Dans ce rapport, nous explorons les liens de FunkSec avec l'activité des hacktivistes et fournissons une analyse approfondie des opérations et des outils publics du groupe, y compris un crypteur personnalisé probablement développé par un auteur de malware relativement inexpérimenté basé en Algérie. Dans une découverte surprenante, nos conclusions indiquent que le développement des outils du groupe, y compris le crypteur, a probablement été assisté par l'IA, ce qui a pu contribuer à leur itération rapide malgré le manque apparent d'expertise technique de l'auteur. Cette affaire met en évidence la frontière de plus en plus floue entre le hacktivisme et la cybercriminalité, en soulignant les défis à relever pour distinguer l'un de l'autre. On ne sait pas si une telle distinction existe réellement - ou si les opérateurs en sont même conscients ou soucieux de la définir -. Plus important encore, cela remet également en question la fiabilité des méthodes actuelles d'évaluation du risque posé par les groupes de ransomware, en particulier lorsque ces évaluations s'appuient sur les déclarations publiques des acteurs eux-mêmes. Contexte -- Activité de FunkSec ----------------------------- FunkSec est un groupe de ransomware émergent qui a lancé son site de fuite de données (DLS) en décembre 2024 pour centraliser ses activités de ransomware. Le groupe utilise des tactiques de double extorsion, combinant le vol de données avec le cryptage pour faire pression sur les victimes afin qu'elles paient des rançons. Leur DLS comprend des annonces de violation, un outil DDoS développé sur mesure et, plus récemment, un ransomware personnalisé proposé sous forme de Ransomware-as-a-Service (RaaS). FunkSec a attiré l'attention du public en raison de ses tactiques agressives et du nombre de ses cibles, avec plus de 85 victimes revendiquées en un peu plus d'un mois d'activité. Notamment, FunkSec a exigé des rançons inhabituellement basses, parfois aussi peu que 10 000 $, et a vendu les données volées à des tiers à des prix réduits. Les activités du groupe sont largement discutées dans les forums de cybercriminalité, contribuant encore davantage à sa notoriété croissante. Une analyse plus approfondie des activités de FunkSec et des discussions sur le DarkWeb offre des indices alléchants sur le groupe, à savoir que leurs motivations semblent chevaucher la frontière entre l'hacktivisme et la cybercriminalité. Il est intéressant de noter que certains membres liés à FunkSec se sont déjà livrés à des activités d'hacktivisme, ajoutant une couche complexe à leurs opérations et soulevant des questions sur leurs véritables objectifs. Ce mélange de tactiques et d'horizons a fait de FunkSec un cas particulièrement intrigant pour une enquête plus approfondie. Offres FunkSec ----------------- ### Ransomware Les opérateurs de FunkSec ont récemment commencé à proposer leur ransomware personnalisé en évolution rapide. À chaque nouvelle version, dont beaucoup sont publiées à quelques jours d'intervalle, leur site Web est mis à jour pour mettre en évidence les fonctionnalités ajoutées. Dans l'annonce de la dernière version V1.5, les opérateurs se sont vantés de son faible taux de détection, partageant une capture d'écran de VirusTotal qui montrait qu'il n'était détecté que par trois moteurs antivirus au moment de la publication. Le fichier référencé dans leur publication (5226ea8e0f516565ba825a1bbed10020982c16414750237068b602c5b4ac6abd), nommé dev.exe, a été téléchargé à partir d'une source algérienne et n'a été détecté que par 3 moteurs au moment du téléchargement. Le ransomware est identifié à l'aide de l'extension ".funksec", écrite en Rust et compilée sur l'environnement de C:\Users\Abdellah\. Une analyse complète du malware est fournie dans la section Analyse technique. Dans notre analyse de ce ransomware, nous avons découvert toutes ses versions qui indiquent un effort de développement en cours probablement mené par un auteur de malware inexpérimenté. Notamment, la plupart des versions ont été téléchargées depuis l'Algérie, probablement par l'auteur lui-même. L'analyse de ces échantillons révèle deux variantes des notes de rançon. La première référence à FunkSec, et la seconde à Ghost Algérie, une autre indication que le développeur est originaire d'Algérie. Il est intéressant de noter que l'auteur a également téléchargé des parties du code source du malware, écrit en Rust. Le fichier de code source, nommé *ransomware.rs*, contient des parties des fonctionnalités des binaires compilés et a été téléchargé sur VirusTotal le 15 décembre à partir d'une source algérienne. Cette version prototype du ransomware est une implémentation simplifiée et comprend les fonctions suivantes : - Crypter tous les fichiers sur le système de l'utilisateur (dans le répertoire C:\) en utilisant une combinaison de cryptage RSA et AES. Les fichiers d'origine sont supprimés après le cryptage, et des versions cryptées avec une nouvelle extension (.funksec) sont créées. - Créer une note de rançon (readme.me) informant l'utilisateur que ses fichiers ont été cryptés et fournissant des instructions pour payer une rançon afin d'obtenir une clé de décryptage. - Modifier l'environnement système (par exemple, changer l'arrière-plan du bureau en noir). - Vérifiez les privilèges administratifs/root avant l'exécution. ### Autres outils gratuits En plus du ransomware, le groupe FunkSec propose des outils supplémentaires, la plupart d'entre eux étant communément associés à l'activité des hacktivistes. - FDDOS, un "Scorpion DDoS Tool" Python, est un outil de test de stress réseau conçu pour effectuer des attaques par déni de service distribué (DDoS) en utilisant des méthodes de flood HTTP ou UDP. - JQRAXY_HVNC un programme C++ serveur et client HVNC est conçu pour la gestion de bureau à distance, l'automatisation et l'interaction des données. - funkgenerate est un outil intelligent de génération et de scraping de mots de passe conçu pour extraire les e-mails et les mots de passe potentiels à partir d'URL données et générer de nouvelles suggestions de mots de passe. Acteurs de menaces associés ------------------------ Fin 2024, FunkSec est apparu sans avertissement et a rapidement dominé les flux et les moniteurs de victimes de ransomware, apparemment sous le couvert de l'hacktivisme. Français En ciblant l'Inde et les États-Unis, et en s'alignant sur le mouvement « Palestine libre », le groupe a exploité plusieurs personnalités et pseudonymes pour façonner son image et gagner en visibilité. ### Scorpion Scorpion est le membre le plus éminent de FunkSec et est associé à une grande partie des profils publics du groupe. Cet acteur utilise plusieurs pseudonymes, le plus connu étant DesertStorm. L'acteur est apparu pour la première fois sur le forum Breached, en introduisant le nom de FunkSec dans une vidéo YouTube publiée via la chaîne « Scorpion » (@scorpioncybersec) en octobre 2024. La vidéo prétendait que FunkSec avait divulgué un appel entre Donald Trump, alors candidat à la présidence américaine, et le Premier ministre israélien Benjamin Netanyahu. Cependant, l'enregistrement était clairement généré par l'IA. Le profil YouTube de DesertStorm indiquait que leur emplacement était la Russie, bien que l'URL partagée de la vidéo suggérait qu'elle avait été téléchargée depuis le Brésil. DesertStorm a continué à publier des fuites sur Breached Forum, la plupart non vérifiées ou non attribuées à FunkSec, jusqu'à ce que le compte soit banni en novembre 2024. Dans l'un des messages de DesertStorm, ils ont partagé par inadvertance des captures d'écran compromettantes qui ont révélé que leur emplacement était l'Algérie, avec des paramètres de clavier en français. Un associé présumé, XTN, a publiquement alerté DesertStorm de cette faille de sécurité opérationnelle (OpSec), mais DesertStorm n'a pas supprimé les informations compromettantes. Avant le bannissement de DesertStorm, l'acteur a commencé à taguer deux autres utilisateurs, El_Farado et Blako, dans des messages de forum liés aux fuites et aux activités de FunkSec. Alors que Blako est resté inactif sur les forums, El Farado a progressivement assumé un rôle de premier plan, en faisant la promotion de FunkSec sur les forums, en partageant des fuites et en ajoutant le site .onion du groupe à sa signature. L'acteur est également lié à un compte Keybase sous le nom de "Scorpionlord", où il est répertorié comme l'administrateur de FunkSec. Ce compte est lié au site de la honte FunkSec et à l'utilisateur de DesertStorm sur Breached Forum. Scorpionlord est également le nom d'utilisateur sur deux autres forums de cybercriminalité où le site Web de FunkSec a été promu (ces utilisateurs ont depuis été supprimés). Notamment, le profil Keybase d'El Farado a été enregistré le même jour que celui de Scorpionlord, suggérant un effort coordonné. Un troisième profil Keybase, Blako, a été enregistré seulement quelques jours plus tard, ce qui renforce l'idée que ces personnages étaient tous étroitement liés. ### El_farado El Farado est devenu une figure clé des opérations de FunkSec après le bannissement de DesertStorm du Breached Forum en novembre 2024. El Farado s'est chargé de promouvoir FunkSec, d'assurer sa visibilité sur le forum et de partager les fuites présumées. Français Principaux liens avec FunkSec : - Tagué par DesertStorm : les publications de DesertStorm taguaient fréquemment El Farado, les liant directement à FunkSec. - Enregistrement du profil Keybase : le compte Keybase d'El Farado a été enregistré le même jour que celui de Scorpionlord, ce qui implique un lien fort entre les deux personnages. - Activité promotionnelle : El Farado a activement promu le site .onion de FunkSec sur Breached Forum et a partagé des fuites (souvent peu fiables ou recyclées). - Comportement de débutant : El Farado a parfois publié des fils de discussion posant des questions de piratage basiques comme « Que font les pirates avec les données divulguées ? » Ce comportement suggère un manque d'expérience, corroborant certains aveux de Scorpion sur le manque de savoir-faire technique du groupe. ### XTN XTN est associé au service de « tri de données » de FunkSec annoncé sur son site Web, bien que l'objectif de ce service ne soit pas entièrement clair. Leur compte Keybase, « xtnn », est connecté à leur profil Breached Forum, où ils décrivent leur emplacement comme « la chambre d'El Farado » et font référence à El Farado dans leur signature. XTN a encore renforcé leur lien avec FunkSec en avertissant publiquement DesertStorm de leur manquement à OpSec. ### Bjorka Bjorka, un hacktiviste indonésien connu, a un lien plus trouble avec FunkSec. Alors que les fuites attribuées à FunkSec ont été republiées par un utilisateur nommé Bjorka sur DarkForums, aucune collaboration directe n'a été vérifiée. De plus, un canal Telegram nommé « Bjorkanism » a revendiqué le mérite de certaines opérations de FunkSec, les qualifiant de « Bjorkanism Ransomware (FunkSec) ». Ces affirmations ne sont pas étayées par les plateformes officielles de Bjorka, ce qui suggère des tentatives d'usurpation de l'identité de Bjorka ou, tout au plus, une affiliation lâche. ### Groupes hacktivistes associés FunkSec a tenté de s'associer à plusieurs groupes hacktivistes disparus : - Ghost Algéria : référencé dans une note de ransomware presque identique à celle de FunkSec. - Cyb3r Fl00d : une capture d'écran de dégradation de ce groupe a été incluse dans une activité liée à FunkSec, FunkSec affirmant que Cyb3r Fl00d était leur "ancien groupe". Ces associations représentent probablement des tentatives de renforcer la crédibilité de FunkSec en s'alignant sur des noms connus plutôt qu'une adhésion directe ou une collaboration. Capacités assistées par l'IA ------------------------ Les individus derrière FunkSec semblent avoir largement exploité l'IA pour améliorer leurs capacités, comme en témoignent leurs publications et leurs outils. Leurs offres de scripts publics incluent de nombreux commentaires de code avec un anglais parfait (par opposition à un anglais très basique dans d'autres médias), probablement générés par un agent LLM. Des schémas similaires sont visibles dans le code source de Rust lié au ransomware du groupe, ce qui suggère qu'il a peut-être été développé avec l'aide de l'IA. Dans certains de leurs messages publiés, le groupe a spécifiquement lié le développement de leur ransomware à des agents assistés par l'IA, lui fournissant probablement le code source du ransomware et partageant simplement le résultat sur son site. L'utilisation de tels outils correspond étroitement aux déclarations publiques du groupe, car ils ont également publié un chatbot IA basé sur Miniapps pour soutenir leurs opérations. Miniapps est une plate-forme qui facilite la création et l'utilisation d'applications et de chatbots IA, souvent sans les restrictions trouvées dans des systèmes plus populaires comme ChatGPT. Le bot développé par FunkSec est spécifiquement conçu pour prendre en charge les activités malveillantes. Analyse technique ------------------ Pour mieux comprendre le malware, nous avons examiné l'un des échantillons en circulation. Il s'agit d'un binaire Rust dépouillé, ce qui rend difficile l'ingénierie inverse efficace. Français En particulier, il est sujet à une inlining agressive du code de la bibliothèque (voir notre publication précédente, Inside Akira Ransomware's Rust Experiment pour une démonstration claire de la façon dont cela fonctionne, et comment cela complique les tâches de rétro-ingénierie), et contient de nombreuses implémentations de traits qu'un désassembleur peut ne pas reconnaître dès le départ, dont beaucoup sont des wrappers pour par exemple WriteFileEx ou CryptGenRandom. Cependant, une analyse minutieuse révèle quelques détails intéressants. Dans l'ensemble, nous avons été principalement frappés par la quantité de redondance dans le binaire. Le flux de contrôle semble se répéter et appeler des fonctions encore et encore à partir de différents chemins d'exécution ; dans un ransomware typique, celles-ci ne seraient appelées qu'une seule fois. Dans l'ensemble du binaire, beaucoup de ces fonctions sont appelées deux fois, voire trois ou quatre fois ; la routine « désactiver la sécurité », vue ci-dessus, est appelée deux fois dans le même bloc de base. La fonction récursive ci-dessous, qui parcourt tous les sous-répertoires d'un répertoire donné et chiffre les fichiers ciblés qu'il contient, est appelée au total cinq fois dans le binaire. Une partie de la répétition est due à un code dupliqué qui invoque la logique « chiffrer tous les répertoires » avec des constantes codées en dur différentes à chaque fois, comme cette invocation qui utilise la constante « RansomwarePassword123 ». Outre la fonctionnalité dupliquée, le flux d'exécution principal du malware appelle d'abord la séquence d'opérations vue précédemment (« désactiver la sécurité », etc.) puis transfère l'exécution à une fonction « chiffrer tous les lecteurs ». La séquence d'opérations commence par vérifier si elle dispose de privilèges élevés (en essayant d'exécuter « net session »). Dans le cas contraire, le binaire tente de se relancer avec des privilèges élevés, en utilisant la méthode décrite ici (start-process -wait -Verb runas -filepath '%~nx0' -ArgumentList '<arguments>'). Résumé ------- Ce rapport fournit une analyse approfondie de FunkSec, un groupe de ransomware aux tendances hacktivistes apparentes. Le crypteur personnalisé, développé par un auteur algérien inexpérimenté, comporte des éléments assistés par l'IA qui permettent un développement et une amélioration rapides. Les fuites de données de FunkSec recyclent souvent des informations provenant de campagnes hacktivistes précédentes, jetant le doute sur l'authenticité de leurs affirmations. Malgré ces limitations, leurs opérations basées sur Tor et leurs faibles demandes de rançon ont attiré une large attention sur les forums de cybercriminalité. Les opérations de FunkSec mettent en évidence le rôle de l’IA dans le développement de logiciels malveillants, le chevauchement entre l’hacktivisme et la cybercriminalité, ainsi que les défis liés à la vérification des données divulguées. Cela soulève également des questions sur la manière dont nous évaluons la menace posée par les groupes de ransomware, car nous nous appuyons souvent sur les déclarations des groupes eux-mêmes. Ces résultats reflètent un paysage de menaces en évolution, où même des acteurs peu qualifiés peuvent utiliser des outils accessibles pour projeter une ombre très large. Harmony Endpoint offre une protection complète des terminaux au plus haut niveau de sécurité, essentielle pour éviter les failles de sécurité et la compromission des données et protège contre cette menace.