Como revelan los informes sobre las amenazas de diciembre, un actor presente en el paisaje del ransomware como servicio (RAAS) subió rápidamente la escalera. Llamado Funksec, este grupo parece explotar el Genai en el desarrollo de su malware. Él está en el origen de 103 de los 578 ataques de ransomware Identificado en diciembre pasado por el editor de seguridad NCC Group. O el 18 % de los ataques. Sin embargo, esta actividad supera con creces la de pandillas mucho más establecidas como Clop, Akira y Ransomhub. Dicho esto, los investigadores de la compañía de seguridad Check Point piensan que sus creadores no tienen mucha experiencia en el desarrollo de software malicioso y que han comenzado su carrera como ciberdelincuentes en campañas muy políticas, un aspecto siempre visible en otras herramientas de Funksec. Otro elemento, "Los resultados de nuestro análisis indican que el desarrollo de las herramientas del grupo, incluido el Quantleman, probablemente fue asistido por AI, que puede haber contribuido a su rápida iteración a pesar de la aparente falta de experiencia técnica de los autores", declaró que los investigadores En su informe.

FunkSec es un operador RAAS que se involucra en una doble extorsión a través del cifrado de archivos y el robo de datos. El grupo lanzó su ventana de datos de su sitio, donde rápidamente enumeró a 85 víctimas, lo cual es impresionante para un grupo que no tiene antecedentes o enlaces aparentes en el ecosistema de ransomware. Check Point explica en parte este aumento repentino y esta gran cantidad de víctimas por actividades hacktivistas anteriores de la pandilla. Otro aspecto que distingue a FunkSec de otros grupos es que sus solicitudes de ransomware no exceden los $ 10,000 y también venden datos a precios relativamente bajos, lo que sugiere que se centra más en la cantidad que en la calidad en la selección de objetivos.

Índice
  1. Un programa de ransomware personalizado
  2. Todos los lectores y subdirectorios infectados
  3. Un aumento en el poder atribuible a LLM

Un programa de ransomware personalizado

El programa de ransomware utilizado por FunkSec está escrito en Rust y su creador descargó por primera vez del Servicio de Análisis de Malware Virustotal para presumir de su baja tasa de detección. Pero gracias a esto, los investigadores pudieron encontrar y analizar varias variantes del programa que se descargaron en Virustotal de Argelia. Además, aunque ciertas versiones incluían una nota de ransomware que identifica al grupo como FunkSec, otras incluyeron otra nota que atribuyó el ataque a una organización llamada Ghost Argelia. El autor tampoco eliminó las variables de compilación, revelando una ruta llamada C: \ Users \ Abdellah \ en el código fuente.

El ransomware intenta obtener altos privilegios utilizando técnicas conocidas por los scripts de PowerShell, luego desactiva el servicio de protección de tiempo real del defensor de Windows, el registro de eventos de seguridad en el sistema y los de la aplicación, la eliminación de las restricciones impuestas en la ejecución de PowerShell y, finalmente, para eliminar las copias en la sombra de los volúmenes para prevenir la restauración del sistema. El malware luego intenta aniquilar una larga lista de procesos asociados con varios programas, incluidos navegadores, reproductores de video, aplicaciones de mensajería y servicios de Windows. Este proceso asegura que el acceso a archivos potencialmente importantes que luego se encriptarán no está bloqueado por estas aplicaciones.

Todos los lectores y subdirectorios infectados

El ransomware luego elementos de todos los lectores del lector y sube en todos los subdirectorios, encriptando todos los archivos con una lista de extensiones específicas. La rutina de cifrado de archivos utiliza el algoritmo Chacha20 con claves efímeras. Los archivos bloqueados llevan la extensión .funksec. Según los investigadores de Check Point, el código de malware, parte del cual también ha sido descargado de Virustotal por su autor, utiliza muchas funciones de llamadas redundantes y un flujo de control repetitivo. El código también tiene comentarios en inglés perfectos, una señal de que el autor probablemente usó la ayuda de un modelo de idioma grande (LLM) para su creación.

El uso de un LLM también es visible en algunas de las otras herramientas ofrecidas para las ventas de FunkSec, especialmente en un script DDOS escrito en Python para saturaciones UDP y HTTP, en un servidor y un cliente de HVNC para administración remota, y en una herramienta de desguace para contraseñas para correos electrónicos y URL. Ciertas herramientas y fugas del grupo contenían notas sobre otras dos pandillas llamadas Ghost Argelia y CYB3R FL00D. El grupo también se alineó públicamente con el movimiento "Palestina libre" y dijo que Estados Unidos era un objetivo principal debido a su apoyo a Israel. "Todos nuestros ataques con el nuevo programa de ransomware estarán dirigidos contra Estados Unidos, dirigidos al sector gubernamental, la economía y las empresas que exportan y producen para el estado", escribió el grupo en uno de sus mensajes.

Un aumento en el poder atribuible a LLM

Varias personas están asociadas con Funksec y las promueven en foros cibercriminales. Después de todo, es una operación de ransomware como un servicio, es decir, se comercializa con otros ciberdelincuentes que pueden convertirse en afiliados e implementar el programa en computadoras a cambio de una comisión. El principal administrador y promotor de FunkSec actúa bajo las identidades de Scorpion y Deertstorm. Si bien su perfil de YouTube indica que su país es Rusia, en ciertas capturas de pantalla, indicaron involuntariamente que estaban en Argelia y que su teclado era francés. Desertstorm fue desterrado de un importante foro cibercriminal en noviembre, pero otro usuario conocido como El_farado continuó promoviendo Funksec.

Otro usuario asociado con el servicio de clasificación de grupo se llama XTN. A pesar de una aparente falta de experiencia, el deslumbrante ascenso de Funksec en la parte superior de las estadísticas de ransomware demuestra que la LLM reduce la barrera de habilidades para permitir a los actores de la amenaza de tener éxito en los ataques del ransomware. Queda por ver si el grupo logrará ganar suficientes tierras, atraer afiliados y continuar mejorando su programa de ransomware para convertirse en una amenaza bien establecida, para demostrar que su éxito no es un buen golpe solo para la suerte.