Incidents associés
Des chercheurs en cybersécurité ont mis en lumière une famille naissante de ransomwares assistés par intelligence artificielle (IA) appelée FunkSec a vu le jour fin 2024 et a fait plus de 85 victimes à ce jour.
« Le groupe utilise des tactiques de double extorsion, combinant vol de données et cryptage pour faire pression sur les victimes afin qu'elles paient des rançons », a déclaré Check Point Research [(https://research.checkpoint.com/2025/funksec-alleged-top-ransomware-group-powered-by-ai/) dans un nouveau rapport partagé avec The Hacker News. « Notamment, FunkSec a exigé des rançons inhabituellement basses, parfois aussi peu que 10 000 $, et a vendu les données volées à des tiers à des prix réduits. »
FunkSec a lancé son site de fuite de données (DLS) en décembre 2024 pour « centraliser » ses opérations de ransomware, en mettant en avant les annonces de violation, un outil personnalisé pour mener des attaques par déni de service distribué (DDoS) et un ransomware sur mesure dans le cadre d'un modèle de ransomware en tant que service (RaaS).
La majorité des victimes se trouvent aux États-Unis, en Inde, en Italie, au Brésil, en Israël, en Espagne et en Mongolie. L'analyse de Check Point sur l'activité du groupe a révélé qu'il pourrait s'agir de l'œuvre d'acteurs novices qui cherchent à attirer la notoriété en recyclant les informations divulguées lors de fuites précédentes liées aux hackers.
Selon Halcyon, FunkSec est remarquable pour le fait qu'il fonctionne à la fois comme un groupe de ransomware et un courtier en données, vendant des données volées à des acheteurs intéressés pour 1 000 à 5 000 dollars.
Il a été déterminé que certains membres du groupe RaaS se sont livrés à des activités hacktivistes, soulignant l'effacement continu des frontières entre hacktivisme et cybercriminalité, tout comme les acteurs étatiques et les cybercriminels organisés font preuve de plus en plus d'une « convergence troublante de tactiques, de techniques et même d'objectifs ».
Ils prétendent également cibler l'Inde et les États-Unis, s'alignant sur le mouvement « Free Palestine » et tentant de s'associer à des entités hacktivistes aujourd'hui disparues comme Ghost Algeria et Cyb3r Fl00d. Certains des acteurs importants associés à FunkSec sont énumérés ci-dessous -
- Un acteur présumé basé en Algérie nommé Scorpion (alias DesertStorm) qui a fait la promotion du groupe sur des forums clandestins tels que Breached Forum
- El_farado, qui est devenu l'un des principaux acteurs de la publicité pour FunkSec après le bannissement de DesertStorm du Breached Forum
- XTN, un associé probable impliqué dans un service de « tri de données » encore inconnu
- Blako, qui a été tagué par DesertStorm avec El_farado
- Bjorka, un hacktiviste indonésien connu dont le pseudonyme a été utilisé pour revendiquer des fuites attribuées à FunkSec sur DarkForums, pointant soit vers une affiliation lâche, soit vers leurs tentatives d'usurpation de FunkSec
La possibilité que le groupe puisse également se lancer dans des activités hacktivistes est démontrée par la présence d'outils d'attaque DDoS, ainsi que ceux liés à la gestion de bureau à distance (JQRAXY_HVNC) et à la génération de mots de passe (funkgenerate).
« Le développement des outils du groupe, y compris le crypteur, a probablement été assisté par l'IA, ce qui a pu contribuer à leur itération rapide malgré le manque apparent d'expertise technique de l'auteur », a souligné Check Point.
La dernière version du ransomware, nommée FunkSec V1.5, est écrite en Rust, avec l'artefact téléchargé sur la plateforme VirusTotal depuis l'Algérie. Un examen des anciennes versions du malware révèle des références à FunkLocker et Ghost Algérie dans les notes du ransomware. La plupart de ces spécimens ont été téléchargés depuis l'Algérie et peut-être par le développeur lui-même, ce qui suggère que l'acteur de la menace est originaire de ce pays.
Le binaire du ransomware est configuré pour parcourir de manière récursive tous les répertoires et crypter les fichiers ciblés, mais pas avant d'avoir élevé les privilèges et pris des mesures pour désactiver les contrôles de sécurité, supprimer les sauvegardes de copie fantôme et mettre fin à une liste codée en dur de processus et de services.
"2024 a été une année très fructueuse pour les groupes de ransomware, tandis qu'en parallèle, les conflits mondiaux ont également alimenté l'activité de différents groupes hacktivistes", a déclaré Sergey Shykevich, responsable du groupe de renseignement sur les menaces chez Check Point Research, dans un communiqué.
"FunkSec, un nouveau groupe qui est récemment apparu comme le groupe de ransomware le plus actif en décembre, brouille les frontières entre hacktivisme et cybercriminalité. Poussé à la fois par des agendas politiques et des incitations financières, FunkSec exploite l'IA et réutilise d'anciennes fuites de données pour établir une nouvelle marque de ransomware, bien que le succès réel de leurs activités reste très discutable".
Cette évolution intervient alors que Forescout a détaillé une attaque de Hunters International qui a probablement utilisé Oracle WebLogic Server comme point d'entrée initial pour déposer un shell Web China Chopper, qui a ensuite été utilisé pour effectuer une série d'activités post-exploitation qui ont finalement conduit au déploiement du ransomware.
« Après avoir obtenu l'accès, les attaquants ont effectué une reconnaissance et un mouvement latéral pour cartographier le réseau et augmenter les privilèges », a déclaré Forescout [(https://www.forescout.com/blog/hunters-international-ransomware-what-we-learned-from-an-oracle-ws-attack/). « Les attaquants ont utilisé une variété d'outils administratifs et de red teaming courants pour les mouvements latéraux. »