Incidents associés
Des chercheurs ont découvert un nouveau groupe de ransomware qui a fait plus de 80 victimes en un mois seulement, soit plus que tout autre acteur malveillant en décembre.
Le groupe, connu sous le nom de FunkSec, est apparu à la fin de l'année dernière et se compose probablement de pirates informatiques inexpérimentés en quête de visibilité et de reconnaissance, selon un nouveau rapport de la société de cybersécurité Check Point.
« De nombreux ensembles de données divulgués par le groupe sont recyclés à partir de campagnes de hacktivisme précédentes, ce qui soulève des doutes sur l'authenticité de leurs divulgations », ont déclaré les chercheurs.
FunkSec exige des rançons inhabituellement basses, parfois aussi peu que 10 000 $, de ses victimes, qui sont principalement basées aux États-Unis, en Inde, en Italie, au Brésil, en Israël, en Espagne et en Mongolie, et vend les données volées à des tiers à des prix réduits.
Parmi les victimes répertoriées sur son site Internet figurent une société de réservation de voyages, un service de gestion de l'énergie et une entreprise qui vend des appareils électroménagers. Aucune d'entre elles n'a publiquement confirmé les attaques présumées.
La dernière version du ransomware du groupe, nommée FunkSec V1, a été téléchargée depuis l'Algérie, probablement par son créateur. Le malware contient des éléments qui semblent avoir été créés à l'aide de l'intelligence artificielle.
Les chercheurs ont noté que le développeur a probablement utilisé l'IA pour développer et améliorer rapidement l'outil et pour compléter son « manque apparent d'expertise technique ».
Par exemple, l'IA a probablement été utilisée pour écrire des commentaires de code dans un anglais parfait, contrastant avec l'anglais très basique utilisé sur les autres plateformes du groupe. FunkSec a également publié un chatbot IA pour soutenir ses opérations.
Les véritables motivations de FunkSec ne sont pas claires, car ses activités s'alignent à la fois sur l'hacktivisme et la cybercriminalité, selon le rapport.
En plus des ransomwares, le groupe propose des outils généralement associés aux activités des hacktivistes, notamment des services pour les attaques par déni de service distribué (DDoS), la gestion du bureau à distance et la génération de mots de passe.
Certains membres du groupe se sont déjà engagés dans des activités hacktivistes. Ils prétendent également cibler l'Inde et les États-Unis, s'alignant sur le mouvement « Free Palestine » et tentant de s'associer à des entités hacktivistes aujourd'hui disparues comme Ghost Algérie et Cyb3r Fl00d.
« Ces associations représentent probablement des tentatives de renforcer la crédibilité de FunkSec en s'alignant sur des noms bien connus plutôt que d'indiquer une adhésion directe ou une collaboration », ont déclaré les chercheurs.