Bollettino dei cyberattacchi: Difesa contro il ransomware Codefinger in AWS S3

Bollettino dei cyberattacchi: Difesa contro il ransomware Codefinger in AWS S3

Vectra AI Giappone, ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icona dell'hamburger in alto
Icona dell'hamburger linea centrale
Icona dell'hamburger linea di fondo
cybercriminels
>
Gruppo Ransomware

FunkSec

FunkSec rappresenta una nuova ondata di gruppi di ransomware assistiti dall'intelligenza artificiale, che fonde la criminalità informatica con l'hacktivismo. Sebbene la loro sofisticazione tecnica sia discutibile, le loro tattiche e la loro visibilità pubblica li rendono una minaccia notevole. I team di sicurezza devono monitorare le tendenze malware guidato dall'intelligenza artificiale e prepararsi agli attacchi ransomware che sfruttano l'automazione e le tattiche di inganno.

Rilevare i TTP di FunkSec
La vostra organizzazione è al sicuro da FunkSec?
Sfondo
Obiettivi
TTP
Rilevamento
DOMANDE FREQUENTI
Guarda il Briefing sulle minacce

Background di FunkSec

FunkSec è un gruppo di ransomware emerso alla fine del 2024, che ha rapidamente guadagnato notorietà per l'elevato numero di vittime dichiarate pubblicamente. A differenza di altre bande di ransomware consolidate, FunkSec sembra essere un'operazione relativamente nuova e indipendente, senza legami noti con precedenti famiglie di ransomware. Il gruppo utilizza tattiche di doppia estorsione, combinando la crittografia e il furto di dati per spingere le vittime a pagare un riscatto.

Una caratteristica fondamentale di FunkSec è lo sviluppo di malware assistito dall'intelligenza artificiale, che consente anche ad attori inesperti di creare e iterare rapidamente strumenti dannosi. Il gruppo sembra operare all'intersezione tra hacktivismo e criminalità informatica, rendendo difficile determinare le sue vere motivazioni. Alcuni dei loro set di dati trapelati sono stati trovati riciclati da precedenti campagne hacktiviste, mettendo in dubbio l'autenticità delle loro rivelazioni.

Sebbene FunkSec si presenti come una sofisticata operazione di ransomware-as-a-service (RaaS), i ricercatori di sicurezza hanno identificato diversi segnali che indicano che le competenze tecniche del gruppo sono limitate. La maggior parte delle loro attività sembra essere guidata dal desiderio di notorietà piuttosto che dal guadagno economico, come dimostrano le basse richieste di riscatto e gli sforzi promozionali pubblici sui forum di criminalità informatica.

Fonte: Checkpoint

Background di FunkSec
Obiettivi

Obiettivi di FunkSec

Paesi destinatari

La maggior parte delle vittime rivendicate da FunkSec provengono dall'India e dagli Stati Uniti, mentre altri attacchi hanno preso di mira organizzazioni europee e mediorientali. Il loro allineamento con il movimento "Free Palestine" suggerisce una possibile motivazione geopolitica, anche se potrebbe trattarsi più di branding che di effettivo intento politico.

Industrie mirate

FunkSec non sembra concentrarsi su un singolo settore, ma ha attaccato istituzioni governative, sanità, servizi finanziari e aziende tecnologiche. Il modello di ransomware-as-a-service (RaaS) del gruppo consente a più affiliati di utilizzare i loro strumenti, ampliando la portata delle potenziali vittime. Alcuni settori presi di mira sono in linea con le motivazioni degli hacktivisti, in particolare le agenzie governative e le infrastrutture.

Fonte dell'immagine: PCrisk

Industrie mirate

FunkSec non sembra concentrarsi su un singolo settore, ma ha attaccato istituzioni governative, sanità, servizi finanziari e aziende tecnologiche. Il modello di ransomware-as-a-service (RaaS) del gruppo consente a più affiliati di utilizzare i loro strumenti, ampliando la portata delle potenziali vittime. Alcuni settori presi di mira sono in linea con le motivazioni degli hacktivisti, in particolare le agenzie governative e le infrastrutture.

Fonte dell'immagine: PCrisk

Vittime illustri

Si stima che 138 organizzazioni siano state vittime di attacchi FunkSec.

Metodo di attacco

Il metodo di attacco di FunkSec

Accesso iniziale
Escalation dei privilegi
Difesa Evasione
Accesso alle credenziali
Scoperta
Movimento laterale
Collezione
Esecuzione
Esfiltrazione
Impatto
Una figura ombrosa che getta un'ampia rete su un paesaggio digitale pieno di vari dispositivi come computer, smartphone e tablet. La rete simboleggia i tentativi dell'attaccante di trovare vulnerabilità o di utilizzare le tecniche di phishing per ottenere un accesso non autorizzato.

FunkSec ottiene l'accesso tramite e-mailphishing , credential stuffing e sfruttando vulnerabilità non patchate nei sistemi esposti. Sfrutta anche le credenziali rubate trovate nei forum del dark web.

Una scala digitale che si estende verso l'alto da un'icona utente di base verso una corona che simboleggia i privilegi amministrativi. Questo rappresenta gli sforzi dell'attaccante per ottenere un accesso di livello superiore all'interno del sistema.

Il gruppo tenta di aumentare i privilegi utilizzando tecniche di furto di credenziali, manipolazione di token e sfruttando configurazioni errate negli ambienti Windows.

Un camaleonte che si mimetizza in uno sfondo digitale, con zeri e uno che gli scorrono intorno. Questo rappresenta la capacità dell'attaccante di evitare il rilevamento da parte delle misure di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.

FunkSec disabilita Windows Defender, la registrazione degli eventi e le funzioni di sicurezza di PowerShell per evitare il rilevamento. Il ransomware è compilato in Rust, il che può rendere più difficile l'analisi e il rilevamento.

Un ladro con un kit di grimaldelli che lavora su un buco della serratura gigante a forma di modulo di login, che rappresenta gli sforzi dell'attaccante di rubare le credenziali dell'utente per ottenere un accesso non autorizzato.

Utilizzano keylogger e strumenti di scraping delle password come funkgenerate, che raccoglie le credenziali da sistemi e siti web compromessi.

Una lente di ingrandimento che si muove su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per capire la struttura e dove risiedono i dati preziosi.

FunkSec esegue la scansione delle reti infette per individuare i file di valore e determinare le risorse più critiche da crittografare.

Una serie di nodi interconnessi con una figura oscura che si muove furtivamente tra di essi. Questo illustra i movimenti dell'attaccante all'interno della rete, che cerca di ottenere il controllo di altri sistemi o di diffondere malware.

Utilizzano strumenti HVNC (hidden virtual network computing) e exploit di desktop remoti per spostarsi attraverso le reti compromesse.

Un grande aspirapolvere che aspira file, icone di dati e cartelle in un sacchetto tenuto da una figura in ombra. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.

Il gruppo esfiltra i file sensibili utilizzando script Python personalizzati e strumenti standard come Rclone prima di crittografare i dati della vittima.

Una finestra del prompt dei comandi aperta davanti a uno sfondo digitale, con la digitazione di codice dannoso. Questa rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.

Il ransomware basato su Rust cripta i file utilizzando la crittografia ChaCha20, aggiunge l'estensione ".funksec" e rilascia una nota di riscatto.

Una serie di file che vengono convogliati attraverso un canale nascosto da un computer a un sito cloud etichettato con un teschio, che simboleggia il trasferimento non autorizzato di dati a una posizione controllata dall'aggressore.

I dati rubati vengono caricati sul sito dark web di FunkSec, dove vengono resi pubblici o venduti a terzi.

Uno schermo incrinato con dietro un paesaggio urbano digitale in preda al caos, che simboleggia l'impatto distruttivo del cyberattacco, come l'interruzione del servizio, la distruzione dei dati o la perdita finanziaria.

Il ransomware cancella le copie shadow, interrompe le operazioni terminando i processi e modifica le impostazioni del sistema (ad esempio, oscurando lo sfondo del desktop).

Una figura ombrosa che getta un'ampia rete su un paesaggio digitale pieno di vari dispositivi come computer, smartphone e tablet. La rete simboleggia i tentativi dell'attaccante di trovare vulnerabilità o di utilizzare le tecniche di phishing per ottenere un accesso non autorizzato.
Accesso iniziale

FunkSec ottiene l'accesso tramite e-mailphishing , credential stuffing e sfruttando vulnerabilità non patchate nei sistemi esposti. Sfrutta anche le credenziali rubate trovate nei forum del dark web.

Una scala digitale che si estende verso l'alto da un'icona utente di base verso una corona che simboleggia i privilegi amministrativi. Questo rappresenta gli sforzi dell'attaccante per ottenere un accesso di livello superiore all'interno del sistema.
Escalation dei privilegi

Il gruppo tenta di aumentare i privilegi utilizzando tecniche di furto di credenziali, manipolazione di token e sfruttando configurazioni errate negli ambienti Windows.

Un camaleonte che si mimetizza in uno sfondo digitale, con zeri e uno che gli scorrono intorno. Questo rappresenta la capacità dell'attaccante di evitare il rilevamento da parte delle misure di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.
Difesa Evasione

FunkSec disabilita Windows Defender, la registrazione degli eventi e le funzioni di sicurezza di PowerShell per evitare il rilevamento. Il ransomware è compilato in Rust, il che può rendere più difficile l'analisi e il rilevamento.

Un ladro con un kit di grimaldelli che lavora su un buco della serratura gigante a forma di modulo di login, che rappresenta gli sforzi dell'attaccante di rubare le credenziali dell'utente per ottenere un accesso non autorizzato.
Accesso alle credenziali

Utilizzano keylogger e strumenti di scraping delle password come funkgenerate, che raccoglie le credenziali da sistemi e siti web compromessi.

Una lente di ingrandimento che si muove su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per capire la struttura e dove risiedono i dati preziosi.
Scoperta

FunkSec esegue la scansione delle reti infette per individuare i file di valore e determinare le risorse più critiche da crittografare.

Una serie di nodi interconnessi con una figura oscura che si muove furtivamente tra di essi. Questo illustra i movimenti dell'attaccante all'interno della rete, che cerca di ottenere il controllo di altri sistemi o di diffondere malware.
Movimento laterale

Utilizzano strumenti HVNC (hidden virtual network computing) e exploit di desktop remoti per spostarsi attraverso le reti compromesse.

Un grande aspirapolvere che aspira file, icone di dati e cartelle in un sacchetto tenuto da una figura in ombra. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.
Collezione

Il gruppo esfiltra i file sensibili utilizzando script Python personalizzati e strumenti standard come Rclone prima di crittografare i dati della vittima.

Una finestra del prompt dei comandi aperta davanti a uno sfondo digitale, con la digitazione di codice dannoso. Questa rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.
Esecuzione

Il ransomware basato su Rust cripta i file utilizzando la crittografia ChaCha20, aggiunge l'estensione ".funksec" e rilascia una nota di riscatto.

Una serie di file che vengono convogliati attraverso un canale nascosto da un computer a un sito cloud etichettato con un teschio, che simboleggia il trasferimento non autorizzato di dati a una posizione controllata dall'aggressore.
Esfiltrazione

I dati rubati vengono caricati sul sito dark web di FunkSec, dove vengono resi pubblici o venduti a terzi.

Uno schermo incrinato con dietro un paesaggio urbano digitale in preda al caos, che simboleggia l'impatto distruttivo del cyberattacco, come l'interruzione del servizio, la distruzione dei dati o la perdita finanziaria.
Impatto

Il ransomware cancella le copie shadow, interrompe le operazioni terminando i processi e modifica le impostazioni del sistema (ad esempio, oscurando lo sfondo del desktop).

MITRE ATT&CK Mappatura

I TTP di FunkSec

TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
TA0002: Execution
T1204
User Execution
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
T1134
Access Token Manipulation
T1068
Exploitation for Privilege Escalation
TA0005: Defense Evasion
T1134
Access Token Manipulation
T1070
Indicator Removal
T1562
Impair Defenses
TA0006: Credential Access
T1110
Brute Force
T1003
OS Credential Dumping
TA0007: Discovery
T1082
System Information Discovery
T1046
Network Service Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
TA0040: Impact
T1490
Inhibit System Recovery
T1486
Data Encrypted for Impact
Rilevamenti della piattaforma

Come rilevare FunkSec con Vectra AI

Ransomware File Activity

Suspicious Port Scan

Suspicious Remote Desktop Protocol

Visualizza altri rilevamenti
Valutare l'esposizione agli attacchi

DOMANDE FREQUENTI

La vostra organizzazione è al sicuro da FunkSec?

Valutare l'esposizione agli attacchi