În culisele FunkSec: Kaspersky analizează evoluția ransomware-ului susținut de AI, cu funcții protejate prin parolă

Experți din cadrul Global Research and Analysis Team (GReAT) de la Kaspersky au dezvăluit modul de operare al grupului FunkSec — un grup ransomware care ilustrează viitorul criminalității cibernetice de masă: susținut de inteligență artificială, multifuncțional, extrem de adaptabil și orientat spre volum, cu răscumpărări pornind de la numai 10.000 de dolari, pentru a maximiza profiturile.

Echipa GReAT de la Kaspersky monitorizează constant peisajul amenințărilor ransomware, în care atacurile continuă să crească. Potrivit celui mai recent raport Kaspersky „State of Ransomware”, ponderea utilizatorilor afectați de atacuri ransomware la nivel global a crescut la 0,44% între 2023 și 2024, înregistrând o creștere de 0,02 puncte procentuale. Deși acest procent poate părea modest comparativ cu alte amenințări cibernetice, el reflectă faptul că atacatorii vizează de obicei ținte de mare valoare, nu distribuția în masă, ceea ce face ca fiecare incident să fie potențial devastator. În acest context în continuă schimbare, FunkSec a apărut ca o amenințare deosebit de îngrijorătoare.

Activ de mai puțin de un an, FunkSec a depășit rapid mulți actori consacrați, vizând sectoare guvernamentale, tehnologice, financiare și educaționale din Europa și Asia.

Ceea ce diferențiază FunkSec este arhitectura sa tehnică sofisticată și dezvoltarea asistată de AI. Grupul integrează criptarea completă și exfiltrarea agresivă a datelor într-un singur fișier executabil scris în Rust, capabil să dezactiveze peste 50 de procese pe dispozitivul victimei și dotat cu funcții de auto-curățare pentru a evita detectarea. Dincolo de funcționalitățile clasice ransomware, FunkSec și-a extins arsenalul pentru a include un generator de parole și un instrument DDoS de bază — ambele prezentând semne clare de generare prin LLM-uri.

FunkSec reflectă transformarea criminalității cibernetice de masă, care în present poate combina instrumente și tactici avansate. Experții GReAT de la Kaspersky evidențiază următoarele caracteristici definitorii ale operațiunilor sale:

Funcționalitate controlată prin parolă

Experții GReAT au descoperit că ransomware-ul FunkSec include un mecanism unic de control bazat pe parolă. Fără parolă, malware-ul efectuează o criptare de bază a fișierelor. Cu parolă, se activează un proces suplimentar de exfiltrare a datelor sensibile, pe lângă criptare.

FunkSec reunește criptarea completă, exfiltrarea locală și funcțiile de auto-curățare într-un singur binar Rust — fără fișiere auxiliare sau scripturi complementare. Acest nivel de integrare este rar și oferă afiliaților un instrument ușor de folosit, gata de lansat de oriunde.

Utilizarea AI în dezvoltare

Analiza codului arată că FunkSec folosește activ inteligența artificială generativă pentru a-și crea instrumentele. Multe secțiuni din cod par generate automat, nu scrise manual. Printre semne: comentarii generice de tipul „placeholder for actual check” și inconsecvențe tehnice, cum ar fi comenzi pentru sisteme de operare diferite care nu se aliniază corect. De asemenea, prezența unor funcții declarate dar neutilizate indică faptul că modelele de limbaj combină fragmente de cod fără a elimina elementele redundante.

„Vedem din ce în ce mai des infractori cibernetici care utilizează AI pentru a dezvolta instrumente malware. AI-ul generativ reduce barierele și accelerează crearea de malware, permițând adaptarea mai rapidă a tacticilor. Prin coborârea pragului de acces în domeniu, AI-ul le permite chiar și atacatorilor fără experiență să creeze rapid malware sofisticat, la scară”, comentează Marc Rivero, cercetător principal în securitate la Kaspersky GReAT.

Strategie de volum mare, cu valoare mica a răscumpărărilor

FunkSec cere sume neobișnuit de mici pentru răscumpărare, uneori chiar și de 10.000 de dolari, completate de vânzarea datelor furate către terți, la prețuri reduse. Această strategie este concepută pentru a permite un volum mare de atacuri, ajutând grupul să-și construiască rapid o reputație în mediul infracțional cibernetic. Spre deosebire de grupările tradiționale care solicită milioane, FunkSec aplică un model low-cost, high-frequency, bazat pe automatizare și AI pentru eficiență și scalare.

Extinderea dincolo de ransomware

FunkSec și-a extins capabilitățile dincolo de binarul ransomware. Site-ul său dark leak (DLS) găzduiește și alte instrumente, inclusiv un generator de parole în Python, destinat atacurilor brute-force și password spraying, precum și un instrument DDoS de bază.

Evitarea avansată a detectării

FunkSec folosește tehnici avansate de evitare a detectării, complicând analiza criminalistică. Ransomware-ul poate opri peste 50 de procese și servicii pentru a asigura criptarea completă a fișierelor vizate. În plus, include un mecanism de rezervă care îi permite să execute anumite comenzi chiar și atunci când utilizatorul care îl lansează nu are suficiente privilegii.

Produsele Kaspersky detectează această amenințare ca HEUR:Trojan-Ransom.Win64.Generic.

Recomandări Kaspersky pentru protecția împotriva ransomware-ului:

• Activați protecția ransomware pe toate endpoint-urile. Kaspersky oferă gratuit Anti-Ransomware Tool for Business, care protejează computerele și serverele împotriva ransomware-ului, exploit-urilor și altor tipuri de malware, fiind compatibil cu alte soluții de securitate existente.
• Actualizați constant software-ul de pe toate dispozitivele pentru a preveni exploatarea vulnerabilităților de către atacatori.
• Concentrați-vă apărarea pe detectarea mișcărilor laterale și a exfiltrării de date către internet. Monitorizați traficul de ieșire pentru a identifica conexiunile atacatorilor. Configurați backup-uri offline, protejate împotriva manipulării, accesibile rapid în caz de urgență.
• Instalați soluții anti-APT și EDR, pentru a permite descoperirea avansată a amenințărilor, investigarea acestora și remedierea promptă a incidentelor. Asigurați accesul echipei SOC la informații actualizate despre amenințări și oferiți instruire continuă. Toate sunt disponibile în cadrul Kaspersky Expert Security.
• Utilizați informații actualizate din Threat Intelligence pentru a înțelege tacticile, tehnicile și procedurile (TTPs) utilizate de atacatori.
• Protejați-vă compania cu soluțiile din gama Kaspersky Next, care oferă protecție în timp real, vizibilitate asupra amenințărilor, capabilități de investigare și răspuns (EDR și XDR), potrivite pentru organizații de orice dimensiune și industrie. În funcție de nevoi și resurse, puteți alege nivelul potrivit și migra ulterior la altul, pe măsură ce cerințele se schimbă.