FunkSec
FunkSec rappresenta una nuova ondata di gruppi di ransomware assistiti dall'intelligenza artificiale, che uniscono il crimine informatico all'hacktivismo. Sebbene la loro sofisticazione tecnica sia discutibile, le loro tattiche e la loro visibilità pubblica li rendono una minaccia notevole. I team di sicurezza dovrebbero monitorare malware basato sull'intelligenza artificiale e prepararsi agli attacchi ransomware che sfruttano l'automazione e le tattiche di inganno.
Il background di FunkSec
FunkSec è un gruppo di ransomware emerso alla fine del 2024, che ha rapidamente acquisito notorietà per l'elevato numero di vittime dichiarate pubblicamente. A differenza di altre bande di ransomware consolidate, FunkSec sembra essere un'organizzazione relativamente nuova e indipendente, senza legami noti con precedenti famiglie di ransomware. Il gruppo utilizza tattiche di doppia estorsione, combinando la crittografia dei dati con il furto di dati per costringere le vittime a pagare i riscatti.
Una caratteristica fondamentale di FunkSec è malware assistito dall'intelligenza artificiale, che consente anche agli attori inesperti di creare e iterare rapidamente strumenti dannosi. Il gruppo sembra operare all'incrocio tra hacktivismo e criminalità informatica, rendendo difficile determinare le loro reali motivazioni. Alcuni dei loro set di dati trapelati sono stati trovati riciclati da precedenti campagne hacktiviste, mettendo in dubbio l'autenticità delle loro rivelazioni.
Sebbene FunkSec si presenti come una sofisticata operazione di ransomware-as-a-service (RaaS), i ricercatori di sicurezza hanno individuato diversi segnali che indicano che le competenze tecniche del gruppo sono limitate. La maggior parte delle loro attività sembra essere motivata dal desiderio di notorietà piuttosto che dal guadagno finanziario, come dimostrano le loro richieste di riscatto modeste e le iniziative promozionali pubbliche sui forum dedicati alla criminalità informatica.
Fonte: Checkpoint
Paesi destinatari
La maggior parte delle vittime dichiarate da FunkSec proviene dall'India e dagli Stati Uniti, con ulteriori attacchi rivolti contro organizzazioni europee e mediorientali. Il loro allineamento con il movimento "Free Palestine" suggerisce una possibile motivazione geopolitica, anche se potrebbe trattarsi più di una questione di immagine che di un reale intento politico.
Settori di riferimento
FunkSec non sembra concentrarsi su un unico settore, ma ha attaccato istituzioni governative, strutture sanitarie, servizi finanziari e aziende tecnologiche. Il modello ransomware-as-a-service (RaaS) del gruppo consente a più affiliati di utilizzare i propri strumenti, ampliando la portata delle potenziali vittime. Alcuni settori presi di mira sono in linea con le motivazioni degli hacktivisti, in particolare le agenzie governative e le infrastrutture.
Fonte immagine: PCrisk
Vittime illustri
Si stima che circa 138 organizzazioni siano state vittime degli attacchi di FunkSec.
Il metodo di attacco di FunkSec
FunkSec ottiene l'accesso tramite phishing , credential stuffing e sfruttando vulnerabilità non corrette nei sistemi esposti. Inoltre, sfrutta le credenziali rubate trovate nei forum del dark web.
Il gruppo tenta di aumentare i privilegi utilizzando tecniche di furto delle credenziali, manipolazione dei token e sfruttando configurazioni errate negli ambienti Windows.
FunkSec disabilita Windows Defender, la registrazione degli eventi e le funzionalità di sicurezza di PowerShell per evitare il rilevamento. Il loro ransomware è compilato in Rust, il che può rendere più difficili l'analisi e il rilevamento.
Utilizzano keylogger e strumenti per il furto di password come funkgenerate, che raccoglie le credenziali dai sistemi e dai siti web compromessi.
FunkSec esegue la scansione delle reti infette per individuare i file di valore e determinare le risorse più critiche da crittografare.
Utilizzano strumenti HVNC (hidden virtual network computing) e exploit di desktop remoto per muoversi all'interno delle reti compromesse.
Il gruppo sottrae file sensibili utilizzando script Python personalizzati e strumenti standard come Rclone prima di crittografare i dati della vittima.
Il ransomware basato su Rust crittografa i file utilizzando la crittografia ChaCha20, aggiunge l'estensione ".funksec" e rilascia una richiesta di riscatto.
I dati rubati vengono caricati sul sito di FunkSec dedicato alle fughe di notizie sul dark web, dove vengono resi pubblici o venduti a terzi.
Il ransomware elimina le copie shadow, interrompe le operazioni terminando i processi e modifica le impostazioni di sistema (ad esempio oscurando lo sfondo del desktop).
FunkSec ottiene l'accesso tramite phishing , credential stuffing e sfruttando vulnerabilità non corrette nei sistemi esposti. Inoltre, sfrutta le credenziali rubate trovate nei forum del dark web.
Il gruppo tenta di aumentare i privilegi utilizzando tecniche di furto delle credenziali, manipolazione dei token e sfruttando configurazioni errate negli ambienti Windows.
FunkSec disabilita Windows Defender, la registrazione degli eventi e le funzionalità di sicurezza di PowerShell per evitare il rilevamento. Il loro ransomware è compilato in Rust, il che può rendere più difficili l'analisi e il rilevamento.
Utilizzano keylogger e strumenti per il furto di password come funkgenerate, che raccoglie le credenziali dai sistemi e dai siti web compromessi.
FunkSec esegue la scansione delle reti infette per individuare i file di valore e determinare le risorse più critiche da crittografare.
Utilizzano strumenti HVNC (hidden virtual network computing) e exploit di desktop remoto per muoversi all'interno delle reti compromesse.
Il gruppo sottrae file sensibili utilizzando script Python personalizzati e strumenti standard come Rclone prima di crittografare i dati della vittima.
Il ransomware basato su Rust crittografa i file utilizzando la crittografia ChaCha20, aggiunge l'estensione ".funksec" e rilascia una richiesta di riscatto.
I dati rubati vengono caricati sul sito di FunkSec dedicato alle fughe di notizie sul dark web, dove vengono resi pubblici o venduti a terzi.
Il ransomware elimina le copie shadow, interrompe le operazioni terminando i processi e modifica le impostazioni di sistema (ad esempio oscurando lo sfondo del desktop).