(https://i.imgur.com/9PeopLK.png)
Investigadores de ciberseguridad han identificado una familia emergente de ransomware, asistida por inteligencia artificial (IA), conocida como FunkSec. Este grupo, que irrumpió en escena a finales de 2024, ha afectado a más de 85 víctimas en varios países.
Tácticas de Doble Extorsión y Rescates ReducidosFunkSec emplea tácticas de doble extorsión, combinando el robo de datos con el cifrado para presionar a las víctimas a pagar rescates. Según un informe de Check Point Research, los rescates exigidos son inusualmente bajos, desde $10,000, mientras que los datos robados se venden a terceros por precios que oscilan entre $1,000 y $5,000.
Infraestructura y Modelo de NegocioEn diciembre de 2024, FunkSec lanzó un sitio de fugas de datos (DLS) para centralizar sus operaciones. Este portal incluye:
- Anuncios de violaciones de datos.
- Herramientas personalizadas para ataques de denegación de servicio distribuidos (DDoS).
- Un modelo de ransomware como servicio (RaaS) con ransomware a medida.
Ámbito Geográfico y Perfil de los ActoresLa mayoría de las víctimas se encuentran en Estados Unidos, India, Italia, Brasil, Israel, España y Mongolia. Análisis de Check Point sugiere que FunkSec podría ser obra de actores novatos que reutilizan datos filtrados de hacktivistas.
Entre los miembros destacados del grupo se incluyen:
- Scorpion (DesertStorm): Promotor en foros clandestinos como Breached Forum.
- El_farado: Figura clave tras la expulsión de DesertStorm del foro.
- XTN: Asociado a un servicio de "clasificación de datos".
- Blako y Bjorka: Actores vinculados a FunkSec y conocidos en foros oscuros.
Hacktivismo y Convergencia de AmenazasEl grupo también parece incursionar en actividades hacktivistas, apoyando movimientos como "Palestina Libre" y utilizando herramientas de ataque DDoS, gestión remota y generación de contraseñas. Esta convergencia de hacktivismo y cibercrimen refleja una preocupante tendencia global.
Desarrollo Tecnológico y Uso de IAFunkSec ha desarrollado herramientas avanzadas, incluido un ransomware en Rust llamado FunkSec V1.5. Estas herramientas fueron posiblemente asistidas por IA, lo que permitió iteraciones rápidas a pesar de la aparente inexperiencia del grupo.
Metodología de AtaquesEl ransomware iterativamente cifra archivos tras desactivar controles de seguridad, eliminar copias de respaldo y finalizar procesos clave. Las versiones anteriores incluyen referencias a FunkLocker y Ghost Algeria, lo que sugiere un origen en Argelia.
Contexto GlobalSegún Sergey Shykevich de Check Point Research, "FunkSec combina agendas políticas y financieras, utilizando IA y filtraciones antiguas para redefinir el ransomware. Sin embargo, el éxito real de sus operaciones sigue siendo cuestionable".
Ciberataques RelacionadosParalelamente, Forescout informó sobre un ataque de Hunters International que explotó Oracle WebLogic Server para lanzar ransomware. Los atacantes realizaron reconocimiento, movimiento lateral y escalada de privilegios utilizando herramientas administrativas y de equipo rojo.
Con la evolución de grupos como FunkSec, es esencial que las organizaciones fortalezcan su ciberseguridad para mitigar estas amenazas emergentes.
Fuente: https://thehackernews.com