関連インシデント
FunkSecという名の新興ランサムウェアグループは、2024年12月に80人以上の被害者を攻撃したとして有名になったと、チェックポイントが報じている。
FunkSecはハクティビズムとサイバー犯罪の両方に関与しているようで、そのメンバーはおそらく現在、知名度と認知度の向上を目指している経験の浅い脅威アクターであることが、チェックポイントの同グループに対する調査で明らかになった。
Rustで書かれたこのファイル暗号化マルウェアは、おそらくAIの助けを借りて、アルジェリアの経験の浅いマルウェア開発者によって作成されたもので、この開発者はランサムウェアのソースコードの一部をオンラインにアップロードしたと、サイバーセキュリティ企業は述べている。
このグループは、ランサムウェア・アズ・ア・サービス(RaaS)ビジネ�スモデルで活動しており、二重の恐喝を行っており、盗んだ情報を公開すると脅して被害者に身代金を支払わせている。
FunkSec は、2024 年 12 月に開設されたデータ漏洩サイトで被害者を増やしています。このサイトには、カスタム分散型サービス拒否 (DDoS) ツール、スマート パスワード生成およびスクレイピング ツール、およびグループがまったく検出されないと主張する隠し仮想ネットワーク コンピューティング (hVNC) モジュールも含まれています。
FunkSec という名前は、2024 年 10 月に Scorpion および DesertStorm という名前を使用する脅威アクターによって最初に導入され、後に潜在的な関係者である El_Farado によって宣伝されました。他の脅威アクター (XTN、Blako、Bjorka) も Scorpion および FunkSec に関連している可能性があります。
Check Point はまた、グループのメンバーが公開メッセージの一部でランサムウェアの開発を AI に関連付け、悪意のある操作をサポートするためにミニアプリに基づく AI チャットボットをリリースしたことも 発見 しました。
「FunkSec の背後にいる人物は、その出版物やツールからもわかるように、AI を広範に活用して能力を強化しているようです。公開されているスクリプトには、完璧な英語 (他の媒体の非常に基本的な英語とは対照的) による広範なコードコメントが含まれており、LLM エージェントによって生成されたものと思われます」と Check Point は述べています。
FunkSec ランサムウェアは実行されると、一連のコマンドを実行して、Windows Defender のリアルタイム保護、アプリケーシ�ョンおよびセキュリティ イベントのログ記録、PowerShell 実行制限などのセキュリティ機能を無効にし、シャドウ コピー バックアップを削除します。
このマルウェアは、約 50 のプロセスを終了対象とし、暗号化するファイルを検索し、それらに「.funksec」拡張子を追加した後、ディスクに身代金要求のメモを書き込みます。
このランサムウェア集団は、時には 10,000 ドルという低額の身代金を要求し、盗んだとされる情報を他の脅威アクターに割引価格で販売しているのが確認されています。
この集団がハクティビスト キャンペーンに関与していることについては、その信頼性を高めることが目的である可能性がありますが、インドと米国を標的にしていることは、パレスチナ解放運動と一致しています。さらに、このハッカーは、Ghost Algéria や Cyb3r Fl00d などの解散したハクティビスト グループと関係を持っています。
「FunkSec のデータ漏洩は、以前のハクティビスト活動からの情報を再利用することが多く、彼らの主張の信憑性に疑問を投げかけています。これらの制限にもかかわらず、彼らの Tor ベースの活動と低い身代金要求は、サイバー犯罪フォーラムで広く注目を集めています」と Check Point は指摘しています。