Cybersecurity-onderzoekers hebben licht geworpen op een opkomende, door kunstmatige intelligentie (AI) ondersteunde ransomware-familie genaamd FunkSec die eind 2024 ontstond en tot nu toe meer dan 85 slachtoffers heeft geëist.
“De groep maakt gebruik van dubbele afpersingstactieken, waarbij gegevensdiefstal wordt gecombineerd met encryptie om slachtoffers onder druk te zetten om losgeld te betalen”, aldus Check Point Research in een nieuw rapport gedeeld met The Hacker News. “Opmerkelijk was dat FunkSec ongewoon lage losgelden eiste, soms slechts 10.000 dollar, en gestolen gegevens tegen gereduceerde prijzen aan derden verkocht.”
FunkSec lanceerde zijn dataleksite (DLS) in december 2024 om hun ransomware-activiteiten te ‘centraliseren’, met aandacht voor aankondigingen van inbreuken, een aangepaste tool om gedistribueerde denial-of-service (DDoS)-aanvallen uit te voeren, en een op maat gemaakte ransomware als onderdeel van een ransomware- as-a-service (RaaS)-model.
Een meerderheid van de slachtoffers bevindt zich in de VS, India, Italië, Brazilië, Israël, Spanje en Mongolië. Uit de analyse van Check Point van de activiteiten van de groep is gebleken dat dit waarschijnlijk het werk is van beginnende actoren die bekendheid proberen te verwerven door de gelekte informatie uit eerdere hacktivistische lekken te hergebruiken.
Volgens Halcyon valt FunkSec op vanwege het feit dat het zowel als ransomwaregroep als als datamakelaar functioneert en gestolen gegevens aan geïnteresseerde kopers verkoopt voor $1.000 tot $5.000.
Er is vastgesteld dat sommige leden van de RaaS-groep zich bezighielden met hacktivistische activiteiten, wat een voortdurende vervaging van de grenzen tussen hacktivisme en cybercriminaliteit onderstreept, net zoals nationale actoren en georganiseerde cybercriminelen steeds meer blijk geven van een ‘verontrustende convergentie van tactieken, technieken en zelfs doelstellingen.”
Ze beweren ook dat ze zich op India en de VS richten, waarbij ze zich aansluiten bij de ‘Free Palestine’-beweging en proberen zich te associëren met inmiddels ter ziele gegane hacktivistische entiteiten als Ghost Algeria en Cyb3r Fl00d. Enkele van de prominente acteurs die verband houden met FunkSec staan hieronder vermeld:
- Een vermoedelijke in Algerije gevestigde acteur genaamd Scorpion (ook bekend als DesertStorm) die de groep heeft gepromoot op ondergrondse forums zoals Breached Forum
- El_farado, die naar voren kwam als een hoofdpersoon die reclame maakte voor FunkSec na het verbod van DesertStorm op het Breached Forum
- XTN, een waarschijnlijke medewerker die betrokken is bij een nog onbekende dienst voor het sorteren van gegevens
- Blako, die samen met El_farado door DesertStorm is getagd
- Bjorka, een bekende Indonesische hacktivist wiens alias is gebruikt om lekken te claimen die aan FunkSec op DarkForums worden toegeschreven, wijzend op een losse band of hun pogingen om zich voor te doen als FunkSec
De mogelijkheid dat de groep zich ook bezighoudt met hacktivistische activiteiten blijkt uit de aanwezigheid van DDoS-aanvalstools, evenals tools die verband houden met extern desktopbeheer (JQRAXY_HVNC) en het genereren van wachtwoorden (funkgenerate).
“De ontwikkeling van de tools van de groep, inclusief de encryptor, werd waarschijnlijk ondersteund door AI, wat mogelijk heeft bijgedragen aan de snelle iteratie ervan, ondanks het schijnbare gebrek aan technische expertise van de auteur”, aldus Check Point.
De nieuwste versie van de ransomware, genaamd FunkSec V1.5, is geschreven in Rust, waarbij het artefact vanuit Algerije naar het VirusTotal-platform is geüpload. Uit onderzoek van oudere versies van de malware blijkt dat de bedreiging ook uit Algerije komt, dankzij referenties als FunkLocker en Ghost Algeria.
Het binaire bestand van ransomware is geconfigureerd om recursief alle mappen te doorlopen en de beoogde bestanden te versleutelen, maar niet voordat de bevoegdheden zijn verhoogd en stappen zijn ondernomen om beveiligingscontroles uit te schakelen, back-ups van schaduwkopieën te verwijderen en een hardgecodeerde lijst met processen en services te beëindigen.
“2024 was een zeer succesvol jaar voor ransomware-groepen, terwijl de mondiale conflicten tegelijkertijd ook de activiteit van verschillende hacktivistische groepen aanwakkerden”, zegt Sergey Shykevich, manager van de threat intelligence-groep bij Check Point Research, in een verklaring.
“FunkSec, een nieuwe groep die onlangs in december naar voren kwam als de meest actieve ransomwaregroep, vervaagt de grenzen tussen hacktivisme en cybercriminaliteit. Gedreven door zowel politieke agenda’s als financiële prikkels, maakt FunkSec gebruik van AI en hergebruikt oude datalekken om een nieuw ransomware-merk op te richten, hoewel het echte succes van hun activiteiten zeer twijfelachtig blijft.”
De ontwikkeling komt op het moment dat Forescout een Hunters International-aanval heeft beschreven waarbij waarschijnlijk Oracle WebLogic Server werd gebruikt als een eerste toegangspunt om een China Chopper-webshell te laten vallen, die vervolgens werd gebruikt om een reeks post-exploitatieactiviteiten uit te voeren die uiteindelijk leidden tot de inzet van de ransomware.
“Nadat ze toegang hadden verkregen, voerden de aanvallers verkenningen en zijwaartse bewegingen uit om het netwerk in kaart te brengen en de privileges te escaleren”, aldus Forescout. “De aanvallers gebruikten een verscheidenheid aan algemene administratieve en red teaming-tools voor zijwaartse bewegingen.”