Rilevamento e risposta alle minacce di rete basati sull'intelligenza artificiale: approfondimenti da un leader del Magic Quadrant™ 2026 di Gartner®
Leggi il blog
Vectra AIè stata inserita tra i leader nel Magic Quadrant di Gartner per la gestione delle minacce alla rete (NDR) del 2026
Leggi il rapporto
Riga superiore con icona dell'hamburger
Icona dell'hamburger sulla riga centrale
Icona dell'hamburger in basso a destra
Gruppo di ransomware

FunkSec

  1. Stato:
  1. Stato:

FunkSec rappresenta una nuova ondata di gruppi di ransomware assistiti dall'intelligenza artificiale, che fondono la criminalità informatica con l'hacktivismo. Sebbene la loro sofisticazione tecnica sia discutibile, le loro tattiche e la loro visibilità pubblica li rendono una minaccia degna di nota. I team di sicurezza dovrebbero monitorare malware basato sull'intelligenza artificiale e prepararsi ad attacchi ransomware che sfruttano l'automazione e tattiche di inganno.

Individuare le TTP di FunkSec
La tua organizzazione è al sicuro da FunkSec?
Contesto e obiettivi
TTP
Mappatura MITRE
Rilevamento
Domande frequenti
Guarda il briefing sulle minacce
CONTESTO
PAESI
SETTORI
VITTIME

La storia di FunkSec

FunkSec è un gruppo di ransomware emerso alla fine del 2024, che ha rapidamente acquisito notorietà per l'elevato numero di vittime dichiarate pubblicamente. A differenza di altre bande di ransomware consolidate, FunkSec sembra essere un'organizzazione relativamente nuova e indipendente, senza legami noti con precedenti famiglie di ransomware. Il gruppo ricorre a tattiche di doppia estorsione, combinando la crittografia dei dati con il furto degli stessi per costringere le vittime a pagare il riscatto.

Una caratteristica fondamentale di FunkSec è malware assistito dall'intelligenza artificiale, che consente anche agli attori meno esperti di creare e perfezionare rapidamente strumenti dannosi. Il gruppo sembra operare a cavallo tra l'hacktivismo e la criminalità informatica, rendendo difficile determinare le sue reali motivazioni. È emerso che alcuni dei loro set di dati trapelati sono stati riutilizzati da precedenti campagne hacktiviste, mettendo in dubbio l'autenticità delle loro rivelazioni.

Sebbene FunkSec si presenti come una sofisticata operazione di ransomware-as-a-service (RaaS), i ricercatori nel campo della sicurezza hanno individuato diversi indizi che indicano come le competenze tecniche del gruppo siano limitate. La maggior parte delle loro attività sembra essere motivata dal desiderio di notorietà piuttosto che dal guadagno economico, come dimostrano le modeste richieste di riscatto e le iniziative promozionali pubbliche sui forum dedicati alla criminalità informatica.

Fonte: Checkpoint

Paesi destinatari

La maggior parte delle vittime dichiarate da FunkSec proviene dall'India e dagli Stati Uniti, mentre altri attacchi hanno preso di mira organizzazioni europee e mediorientali. La loro adesione al movimento "Free Palestine" fa supporre una possibile motivazione geopolitica, anche se potrebbe trattarsi più di una questione di immagine che di un vero e proprio intento politico.

Fonte: ransomware.live

Settori di riferimento

FunkSec non sembra concentrarsi su un unico settore, ma ha sferrato attacchi contro istituzioni governative, strutture sanitarie, servizi finanziari e aziende tecnologiche. Il modello "ransomware-as-a-service" (RaaS) del gruppo consente a numerosi affiliati di utilizzare i suoi strumenti, ampliando così la cerchia delle potenziali vittime. Alcuni dei settori presi di mira sono in linea con le motivazioni degli hacktivisti, in particolare le agenzie governative e le infrastrutture.

Fonte dell'immagine: PCrisk

Federal

Healthcare

Financial Services and Banking

Vittime illustri

Si stima che circa 138 organizzazioni siano state vittime degli attacchi di FunkSec.

Fonte: ransomware.live
Metodo di attacco

Il metodo di attacco di FunkSec

Accesso iniziale
Escalation dei privilegi
Resistenza ed elusione delle difese
Accesso alle credenziali
Scoperta
Movimento laterale
Collezione
Esecuzione
Esfiltrazione
Impatto
Una figura oscura che getta un'ampia rete su un panorama digitale popolato da vari dispositivi, quali computer, smartphone e tablet. La rete simboleggia i tentativi dell'aggressore di individuare vulnerabilità o di ricorrere a phishing per ottenere un accesso non autorizzato.

FunkSec ottiene l'accesso tramite phishing , credential stuffing e sfruttando le vulnerabilità non corrette nei sistemi esposti. Inoltre, utilizza le credenziali rubate reperite nei forum del dark web.

Una scala digitale che sale dall'icona di un utente standard verso una corona, simbolo dei privilegi amministrativi. Ciò rappresenta gli sforzi compiuti dall'autore dell'attacco per ottenere un livello di accesso più elevato all'interno del sistema.

Il gruppo cerca di ottenere privilegi più elevati ricorrendo a tecniche di furto delle credenziali, alla manipolazione dei token e allo sfruttamento di configurazioni errate negli ambienti Windows.

Un camaleonte che si mimetizza su uno sfondo digitale, circondato da una serie di zero e uno. Ciò rappresenta la capacità dell'autore dell'attacco di eludere i sistemi di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.

FunkSec disattiva Windows Defender, la registrazione degli eventi e le funzionalità di sicurezza di PowerShell per eludere il rilevamento. Il loro ransomware è compilato in Rust, il che può rendere più difficili l'analisi e il rilevamento.

Un ladro munito di un kit di grimaldelli che sta maneggiando una gigantesca serratura a forma di modulo di accesso, a simboleggiare i tentativi dell'aggressore di sottrarre le credenziali degli utenti per ottenere un accesso non autorizzato.

Utilizzano keylogger e strumenti per il furto di password come funkgenerate, che raccoglie le credenziali da sistemi e siti web compromessi.

Una lente d'ingrandimento che si sposta su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per comprenderne la struttura e individuare dove si trovano i dati sensibili.

FunkSec esegue una scansione delle reti infette per individuare i file importanti e stabilire quali siano le risorse più critiche da crittografare.

Una serie di nodi interconnessi tra cui si muove furtivamente una figura indistinta. Ciò illustra i movimenti dell'autore dell'attacco all'interno della rete, inteso a ottenere il controllo di ulteriori sistemi o a diffondere malware.

Utilizzano strumenti HVNC (Hidden Virtual Network Computing) e vulnerabilità del desktop remoto per muoversi all'interno delle reti compromesse.

Un grande aspirapolvere che risucchia file, icone di dati e cartelle in un sacco tenuto in mano da una figura indistinta. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.

Il gruppo sottrae file sensibili utilizzando script Python personalizzati e strumenti standard come Rclone, prima di crittografare i dati della vittima.

Una finestra del prompt dei comandi aperta su uno sfondo digitale, con del codice dannoso che viene digitato. Questa immagine rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.

Il ransomware basato su Rust crittografa i file utilizzando l'algoritmo ChaCha20, aggiunge l'estensione ".funksec" e lascia una richiesta di riscatto.

Una serie di file viene trasferita tramite un canale segreto da un computer a un cloud da un teschio, a simboleggiare il trasferimento non autorizzato di dati verso una destinazione controllata dall'autore dell'attacco.

I dati rubati vengono caricati sul sito di divulgazione del dark web di FunkSec, dove vengono resi pubblici o venduti a terzi.

Uno schermo incrinato con alle spalle un panorama urbano digitale in preda al caos, che simboleggia l'impatto distruttivo di un attacco informatico, come l'interruzione dei servizi, la distruzione dei dati o le perdite finanziarie.

Il ransomware elimina le copie di backup, interrompe le operazioni chiudendo i processi e modifica le impostazioni di sistema (ad esempio, oscurando lo sfondo del desktop).

Una figura oscura che getta un'ampia rete su un panorama digitale popolato da vari dispositivi, quali computer, smartphone e tablet. La rete simboleggia i tentativi dell'aggressore di individuare vulnerabilità o di ricorrere a phishing per ottenere un accesso non autorizzato.
Accesso iniziale

FunkSec ottiene l'accesso tramite phishing , credential stuffing e sfruttando le vulnerabilità non corrette nei sistemi esposti. Inoltre, utilizza le credenziali rubate reperite nei forum del dark web.

Una scala digitale che sale dall'icona di un utente standard verso una corona, simbolo dei privilegi amministrativi. Ciò rappresenta gli sforzi compiuti dall'autore dell'attacco per ottenere un livello di accesso più elevato all'interno del sistema.
Escalation dei privilegi

Il gruppo cerca di ottenere privilegi più elevati ricorrendo a tecniche di furto delle credenziali, alla manipolazione dei token e allo sfruttamento di configurazioni errate negli ambienti Windows.

Un camaleonte che si mimetizza su uno sfondo digitale, circondato da una serie di zero e uno. Ciò rappresenta la capacità dell'autore dell'attacco di eludere i sistemi di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.
Evasione difensiva

FunkSec disattiva Windows Defender, la registrazione degli eventi e le funzionalità di sicurezza di PowerShell per eludere il rilevamento. Il loro ransomware è compilato in Rust, il che può rendere più difficili l'analisi e il rilevamento.

Un ladro munito di un kit di grimaldelli che sta maneggiando una gigantesca serratura a forma di modulo di accesso, a simboleggiare i tentativi dell'aggressore di sottrarre le credenziali degli utenti per ottenere un accesso non autorizzato.
Accesso alle credenziali

Utilizzano keylogger e strumenti per il furto di password come funkgenerate, che raccoglie le credenziali da sistemi e siti web compromessi.

Una lente d'ingrandimento che si sposta su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per comprenderne la struttura e individuare dove si trovano i dati sensibili.
Scoperta

FunkSec esegue una scansione delle reti infette per individuare i file importanti e stabilire quali siano le risorse più critiche da crittografare.

Una serie di nodi interconnessi tra cui si muove furtivamente una figura indistinta. Ciò illustra i movimenti dell'autore dell'attacco all'interno della rete, inteso a ottenere il controllo di ulteriori sistemi o a diffondere malware.
Movimento laterale

Utilizzano strumenti HVNC (Hidden Virtual Network Computing) e vulnerabilità del desktop remoto per muoversi all'interno delle reti compromesse.

Un grande aspirapolvere che risucchia file, icone di dati e cartelle in un sacco tenuto in mano da una figura indistinta. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.
Collezione

Il gruppo sottrae file sensibili utilizzando script Python personalizzati e strumenti standard come Rclone, prima di crittografare i dati della vittima.

Una finestra del prompt dei comandi aperta su uno sfondo digitale, con del codice dannoso che viene digitato. Questa immagine rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.
Esecuzione

Il ransomware basato su Rust crittografa i file utilizzando l'algoritmo ChaCha20, aggiunge l'estensione ".funksec" e lascia una richiesta di riscatto.

Una serie di file viene trasferita tramite un canale segreto da un computer a un cloud da un teschio, a simboleggiare il trasferimento non autorizzato di dati verso una destinazione controllata dall'autore dell'attacco.
Esfiltrazione

I dati rubati vengono caricati sul sito di divulgazione del dark web di FunkSec, dove vengono resi pubblici o venduti a terzi.

Uno schermo incrinato con alle spalle un panorama urbano digitale in preda al caos, che simboleggia l'impatto distruttivo di un attacco informatico, come l'interruzione dei servizi, la distruzione dei dati o le perdite finanziarie.
Impatto

Il ransomware elimina le copie di backup, interrompe le operazioni chiudendo i processi e modifica le impostazioni di sistema (ad esempio, oscurando lo sfondo del desktop).

MITRE ATT&CK

Le TTP di FunkSec

TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
TA0002: Execution
T1204
User Execution
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
T1134
Access Token Manipulation
T1068
Exploitation for Privilege Escalation
TA0005: Defense Evasion
T1134
Access Token Manipulation
T1070
Indicator Removal
T1562
Impair Defenses
TA0006: Credential Access
T1110
Brute Force
T1003
OS Credential Dumping
TA0007: Discovery
T1082
System Information Discovery
T1046
Network Service Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
TA0040: Impact
T1490
Inhibit System Recovery
T1486
Data Encrypted for Impact
Rilevamenti della piattaforma

Come individuare FunkSec con Vectra AI

Ransomware File Activity

Suspicious Port Scan

Suspicious Remote Desktop Protocol

Visualizza altri rilevamenti
Valuta la tua vulnerabilità agli attacchi

La tua organizzazione è al sicuro da FunkSec?

Valuta la tua vulnerabilità agli attacchi

Domande frequenti