FunkSec: Grupa zajmująca się oprogramowaniem ransomware oparta na sztucznej inteligencji i współpracy z partnerami

FunkSec to grupa ransomware, która stała się bardziej rozpoznawalna w ciągu ostatniego miesiąca ze względu na rosnącą liczbę ofiar i obecność wśród innych grup zagrożeń. Ich ofiary, w sumie ponad 120 dotkniętych organizacji, obejmują organizacje rządowe i departamenty obrony narodowej, technologii, finansów i edukacji. FunkSec przyznał się do ofiar z kilku krajów, w szczególności tych z siedzibą w Stanach Zjednoczonych, Indiach, Hiszpanii i Mongolii. Pierwsze raporty o incydentach FunkSec pojawiły się w listopadzie 2024 r., a grupa dodała witrynę wycieku danych w grudniu.

Liczne raporty twierdzą, że wzrost aktywności FunkSec od końca 2024 r., wraz z wykorzystaniem przez nich sztucznej inteligencji, czyni ich wysoce niebezpiecznym i złożonym zagrożeniem. W rzeczywistości jest odwrotnie. Samo wykorzystanie sztucznej inteligencji przez FunkSec nie czyni ich niezwykłymi ani zagrożeniem wartym monitorowania. Zrozumienie implikacji sztucznej inteligencji, wejście grupy do RaaS (ransomware as a service) i raporty identyfikujące iteracje ich kodu mogą dać pewne spostrzeżenia. Jednak taktyka FunkSec, taka jak strategiczne ulepszenia ich witryny wycieku danych w połączeniu z ich podejściem do rewiktymizacji i współpracą z innymi grupami zagrożeń, pozycjonuje ich jako aktora zagrożeń, który może zobaczyć szybkie postępy w celu podniesienia swoich możliwości i rozszerzenia możliwości realizacji kampanii przy ciągłym wsparciu.

Wejście do ekosystemu RaaS z pomocą AI

Sztuczna inteligencja jest wykorzystywana w operacjach ransomware z kilku powodów. Ważne jest zrozumienie możliwości wejścia do ekosystemu RaaS z AI i tego, w jaki sposób FunkSec wykorzystał ją w swoich własnych operacjach.

Ugruntowana grupa zajmująca się oprogramowaniem ransomware, która wykazała się biegłą znajomością elementów kodowania i struktur wdrażania, może wykorzystać sztuczną inteligencję do usprawnienia działań związanych z rozwojem oprogramowania oraz oszczędzania czasu i zasobów podczas udoskonalania istniejącego kodu.

Jednak opracowanie początkowego złośliwego oprogramowania, którego celem jest kradzież danych, uczynienie danych i/lub systemów niedostępnymi oraz finansowanie działalności przestępczej, jest trudnym zadaniem dla nowo utworzonej grupy. Dlatego niektóre powstające grupy zagrożeń wdrażają ransomware pochodzące z wyciekłego kodu powszechnych wariantów. Inne grupy modelują i udoskonalają swój kod w oparciu o elementy dostępne w GitHub i różnych repozytoriach open source.

Inną opcją dla mniej ugruntowanej i doświadczonej grupy zagrożeń, która chce rozwijać i uruchamiać ransomware, jest użycie AI do stworzenia samego kodu. Ułatwia to odciążenie pracy grupy i obniża bariery wejścia do ekosystemu RaaS. FunkSec używa GenAI do tworzenia swojego kodu ransomware; głównym celem ransomware jest szyfrowanie danych. Modyfikuje również ustawienia systemowe i przeprowadza rozpoznanie systemu oraz działania mające na celu uniknięcie obrony.

Wykorzystanie sztucznej inteligencji przez FunkSec, związane z nią zachowania i ograniczenia

FunkSec wykorzystał sztuczną inteligencję do opracowania kodu dla szyfratora, co jest niezbędną umiejętnością dla grupy ransomware. Podczas gdy wykorzystanie sztucznej inteligencji przez FunkSec może wydawać się sprytne na pierwszy rzut oka, podkreśla ono ograniczone zrozumienie przez grupę tworzenia kodu. FunkSec wykazał również wzorzec zachowania, który skłania się ku poleganiu na sztucznej inteligencji, prawdopodobnie w celu zrekompensowania luk w ich wiedzy.

Jednym z zachowań, które nawiązują do konsekwentnego stosowania AI przez FunkSec, jest implementacja i przechowywanie przez grupę kodu, który ma komentarze w zwięzłym języku angielskim. Język reprezentowany w kodzie znacznie różni się od języka niepłynnego, który jest obecny w witrynie FunkSec i postach na ich forum.

Wykorzystanie AI przez FunkSec ujawnia się również poprzez porównanie komentarzy znalezionych w kodzie ransomware z innymi skryptami, które grupa wydała. Narzędzia, których FunkSec używał w przeszłości, obejmują skrypt Pythona ddos1.py, który wykonuje atak DDoS, oraz FunkGenerator lub funkgenerate.zip. Ponadto FunkSec opublikował aktualizacje dotyczące wczesnych iteracji ransomware FunkSec wraz z odniesieniami do ReactGPT.

Zachowania zilustrowane do tej pory nie są jedynymi dostępnymi sposobami wykazania, że FunkSec jest aktorem zagrożeń, który polega na sztucznej inteligencji. Istnieje również szereg zapytań na forach o to, jak włamać się do systemów, co pokazuje, że grupa potrzebuje dużego wsparcia operacyjnego i technicznego ze względu na brak wiedzy. W listopadzie 2024 r. jeden użytkownik o nazwie El_Farado opublikował post na BreachForums; użytkownik wyraził zainteresowanie nauką włamywania się do systemów i baz danych. Hakerzy szukali wskazówek, ponieważ nie wiedzieli, od czego zacząć. Ten temat potrzeby wsparcia z powodu braku wiedzy jest bardziej szczegółowo omówiony w sekcji opisującej obecną stronę i forum FunkSec dotyczące wycieków danych. Podczas gdy internetowa korespondencja FunkSec przedstawia obraz grupy na wczesnym, początkującym etapie, ważne jest również zidentyfikowanie pochodzenia kodu grupy.

Początki kodu i wydania

Początkowe iteracje kodu FunkSec mają takie same właściwości, jakie można znaleźć w złośliwym oprogramowaniu używanym przez aktora zagrożeń o nazwie GhostAlgeria. Kod FunkSec jest napisany w języku Rust i wiadomo, że jedno z ich narzędzi, dev.exe, również pochodzi z zagrożenia pochodzącego z Algierii.

Oprogramowanie ransomware FunkSec przeszło wiele aktualizacji: pojawiła się wersja 1, będąca wersją pośrednią między wersjami 1 i 1.5, wersja 1.5, a teraz wersja 2.0.

Elementy oryginalnego kodu FunkSec, które zostały poddane kontroli, obejmują brak opcji dostosowywania kodu i redundantne odwołania w kodzie binarnym. Oznacza to, że zamiast wykonywać kontrolowane wykonanie, ransomware wielokrotnie odwołuje się do funkcji, zamiast odwoływać się do jednej instancji. Jest to jeden z aspektów, który przemawia za wykorzystaniem przez grupę sztucznej inteligencji do tworzenia kodu bez dokładnego testowania go lub posiadania zespołu programistów, którzy mogliby go udoskonalić.

Strona wycieku danych FunkSec

FunkSec stopniowo aktualizował używany przez siebie kod, a także swoją witrynę wycieku danych, co pozwoliło im utrzymać strategiczną obecność online. Użytkownik uzyskuje dostęp do witryny wycieku danych FunkSec za pośrednictwem łącza onion. FunkSec utworzył witrynę pod koniec listopada 2024 r. i składa się z czterech sekcji: Listing, Auctions (zastąpiła ona poprzednią sekcję o nazwie Marketplace), Forum i Ticket.

Rysunek 1: Strona główna FunkSec DLS

Strona FunkSec Breach i tajemniczy post zapowiadający zmiany

Sekcja Listing na stronie FunkSec wyróżnia narażone ofiary i rodzaj danych, które są eksfiltrowane z każdej organizacji. Aktywne naruszenia obejmują licznik czasu, a zamknięte okupy zostały zaznaczone, jako „naruszenie zostało zakończone”. FunkSec niedawno usunął posty o naruszeniach z grudnia 2024 r. i, na podstawie posta grupy zatytułowanego Nowe trasy, FunkSec wkrótce rozpocznie nowe ataki.

Rysunek 2: FunkSec Nowe trasy Ogłoszenie

Oczyszczenie strony Listing przez FunkSec to nie jedyna zmiana, jaka nastąpiła. Zmienili również swoją strategię zysku. W styczniu 2025 r. działania FunkSec obejmowały trzy części. Po pierwsze, przeprowadzają atak lub pozyskują dane ofiar. Następnie zamieszczają informacje o ofiarach i ich danych na swojej stronie Breach. Na koniec dodają skradzione dane do swojego wewnętrznego rynku, aby zainteresowani kupujący mogli je kupić.

Obszar rynkowy FunkSec nie jest już aktywny. Elementy, które składają się na ich operacje, obejmują teraz szyfrowanie i eksfiltrację danych, żądanie okupu i aukcje danych zamiast marketingu. Zamienili swój rynek na stronę aukcyjną o nazwie FunkBID. Daje to FunkSec środki nie tylko do wymiany danych z innymi stronami, ale także do zarabiania na ofertach od zewnętrznych sprzedawców i tworzenia okazji do otrzymywania poufnych danych po zmiennych cenach.

Rysunek 3: Logo FunkBID

FunkSec wciąż się rozwija

FunkBID Official Auction Market firmy FunkSec to projekt, który pojawił się na początku lutego. Umożliwia FunkSec wprowadzanie danych na rynek i inne usługi oraz tworzenie przestrzeni dla potencjalnych sprzedawców. Użytkownik może na stronie głównej FunkSec kliknąć Auctions, aby uzyskać dostęp do witryny FunkBID.

Użytkownik FunkSec może także przejść do Databases, aby przeglądać bieżące aukcje lub dodać ofertę. Mogą to zrobić tylko użytkownicy z dostępem premium. Oferty na skradzione dane są ograniczone czasowo i przyznawane najwyższemu oferentowi. Dane prezentowane na stronie Databases mają ceny w zakresie od 100 do 1000 USD. Podczas gdy FunkSec pobiera część ofert zaakceptowanych przez zewnętrznych sprzedawców, procent zarobków, które otrzymuje FunkSec, jest nieznany.

FunkSec wymienia inne strony na stronie FunkBID, takie jak Blackhat Tools Source code, Malwares i Access. W momencie wydania strony Blackhat Tools, Source code i Malwares nie mają żadnej zawartości. Access to sekcja zawierająca oferty na strony lub sieci, które hakerzy już naruszyli.

Rysunek 4: Sekcje FunkBID

Centralna lokalizacja FunkBID

Strona kontaktowa FunkBID podaje współrzędne: 51°30’11.5″N 0°07’10.3″W. Współrzędne te wskazują na lokalizację na południe od Tamizy w Londynie. Chociaż obszar ten nie jest zgodny z poprzednimi lokalizacjami powiązanymi z działaniami użytkowników FunkSec i historią, takimi jak Algieria i Brazylia, możliwe, że FunkSec wybrał Londyn jako bazę operacyjną w celu zmniejszenia podejrzeń lub jako taktykę oszustwa. Mogli również wybrać Londyn, aby zrównoważyć ograniczenia, takie jak ograniczenia w podróżowaniu i postanowienia dotyczące wymiany kryptowalut.

Rysunek 5: Współrzędne punktu kontaktowego FunkBID: 51°30’11.5″N 0°07’10.3″W.

Forum FunkSec i korzyści z konta Premium

FunkSec dodał forum do swojej głównej witryny w styczniu 2025 r. FunkForum zachęca użytkowników, w tym członków i zainteresowanych kupujących, do interakcji, dzielenia się informacjami na temat hakowania i działań black hat oraz przeglądania aktualizacji FunkSec. Odwiedzający witrynę mogą się zarejestrować i utworzyć konto po podaniu nazwy użytkownika, adresu e-mail, daty urodzenia i hasła.

Użytkownicy, którzy zapłacą 100 USD, mogą zostać członkami FunkSec Premium i otrzymać dodatkowe korzyści. Obejmują one możliwość pobierania plików z forum, przesyłania plików, tworzenia artykułów i rozpoczynania ankiet. Użytkownicy Premium otrzymują również 20% transakcji sprzedaży FunkSec, dostęp do narzędzia ChatGPT i dostęp do narzędzia do tworzenia ransomware minilocker.

Rysunek 6: Korzyści z premii

Wsparcie FunkSec Ransomware

Organizacje dotknięte ransomware FunkSec mogą przesłać zgłoszenie na swojej stronie po przejściu do sekcji Zgłoszenie. Informacje zawarte w zgłoszeniu to identyfikator sesji, imię i nazwisko, adres e-mail oraz wiadomość z jednym zaszyfrowanym plikiem. Zaszyfrowany plik jest niezbędny grupie do zweryfikowania, czy organizacja, która się z nimi kontaktuje, jest ofiarą i może otrzymać odszyfrowaną wersję przykładowego zaszyfrowanego pliku.

Rysunek 7: Bilet pomocy technicznej FunkSec

Użytkownicy FunkSec

Różne posty na stronie FunkSec data leak mają ponad 300 wyświetleń. Mimo to strona ma niewielu użytkowników, którzy publicznie ze sobą wchodzą w interakcje. Wybitni użytkownicy, którzy już zamieścili lub odpowiedzieli na komentarze dotyczące aktualizacji i działań na stronie, to scorpion, Sentap, el_farado i k1083.

Administratorem strony FunkSec jest scorpion i ma inne role oznaczone odznakami, takie jak haker, deweloper, szef, kupujący, sprzedawca, premium i DAMN. Użytkownik ten ma inne role, w tym szerzenie ideologii nazistowskiej. „scorpion” publikuje działania FunkSec i aktualizacje na Funk Forum, a także zarządza działaniami na stronie FunkBID. Użytkownik został połączony z aliasem DesertStorm.

DesertStorm był użytkownikiem BreachForums, który opublikował wycieki danych przed swoim banem w listopadzie 2024 r. Twierdził nawet, że FunkSec był odpowiedzialny za wyciek wiadomości głosowej między prezydentem USA Donaldem Trumpem a premierem Izraela Benjaminem Netanjahu. Jednak później odkryto, że FunkSec wygenerował tę fałszywą wiadomość za pomocą sztucznej inteligencji. Alias DesertStorm na BreachForums był również powiązany z interakcjami z użytkownikami o nazwach el_farado i Blako na tej samej platformie. Do tej pory badacze zidentyfikowali kilka regionów powiązanych z aliasem DesertStorm, w tym Algierię i Brazylię.

Sentap to kolejny użytkownik na stronie FunkSec. Ich odznaki członkowskie obejmują Mod, Seller, Hacker, Lord, Boss (operator forum) i crime. Podobnie jak scorpion, użytkownik ten ma również oznaczenie nazistowskie i zarządza działaniami na stronie FunkBID. Sentap pisze komentarze i odpowiedzi na Funk Forum w stylu, który ucieleśnia dialekt Amerykanina z południa. Jest to widoczne w poście Clarification Regarding Recent Events, gdzie Sentap wyjaśnia, że ransomware FunkSec zostało przedstawione jako „wywołane przez AI”, uznając ten pomysł za bezsensowny.

Rysunek 8: Post ze stycznia 2025 r., wyjaśnienie dotyczące ostatnich wydarzeń

Sentap to ta sama nazwa, co persona, która była wcześniej kojarzona z RaidForums. RaidForums to platforma, która była używana do łączenia użytkowników z zasobami hakerskimi i innymi informacjami niezbędnymi do popełniania przestępstw. Użytkownik Sentap na RaidForums był powiązany z wieloma wyciekami od jesieni 2021 r. do początku 2022 r., w tym wyciekami wiadomości e-mail, różnych dokumentów i dostępem do witryn. Wiosną 2022 r. RaidForums zostało przejęte przez Departament Sprawiedliwości USA.

el_farado jest użytkownikiem na stronie FunkSec, który ma role admin, mod, hacker, lord i premium. el_farado polubił post, który ogłosił partnerstwo między FSOCIETY i FunkSec. Użytkownik el_farado może być powiązany z użytkownikiem o tej samej nazwie na BreachForums, który opublikował pytanie o tym, jak wyciekać dane w listopadzie 2024 r., aby uzyskać opinie od użytkowników z większym doświadczeniem. Biorąc pod uwagę te informacje, ani odznaki FunkSec, ani przypadkowe określenie haker nie mają większego znaczenia. Mimo to użytkownik el_farado udostępnił informacje o darmowym builderze na Funk Forum; dostęp do pliku odbywa się za pośrednictwem łącza Gofile. Użytkownik el_farado zarządza również działaniami na stronie FunkBID.

k1083 to użytkownik serwisu FunkSec, który pełni rolę hakera. k1083 dodał post na forum zatytułowany „Jak oczyścić kryptowalutę za pomocą XMR | Monero Mixer”, w którym opisuje kroki umożliwiające anonimowe oczyszczenie kryptowaluty przy użyciu TradeOgre, maszyn wirtualnych i portfela Monero.

Ważna aktualizacja FunkSec wersja 2.0

Gdy grupa ransomware używa AI, która nie posiada wiedzy i umiejętności, aby prowadzić operacje bez niej, jej zdolność do rozwoju jest zagrożona. Jednym z większych problemów grupy ransomware, który wpływa na długowieczność jej operacji, jest jej zdolność do uaktualniania kodu.

FunkSec wydał wersję 2.0 w lutym 2025 r. Mod o nazwie scorpion wskazywał, że FunkSec 2.0 jest dostępny dla członków premium i zawiera ulepszenia, takie jak dodatkowe środki antywykrywania i analizy. FunkSec planuje również dodać panel RaaS do kolejnej zaktualizowanej wersji.

Według scorpiona, ofiarom udostępniono próbkę deszyfratora FunkSec 2.0 do testowania deszyfrowania dwóch plików za darmo, po podaniu przez nich danych kontaktowych do obsługi FunkSec. Kontrastuje to z wcześniejszymi twierdzeniami FunkSec, że samo narzędzie deszyfrujące kosztuje 500 000 USD, a obsługa wymaga okupu w wysokości 1 miliona USD za odszyfrowanie urządzeń sieciowych.

Dlaczego FunkSec zmienił swoje stawki? Zmiana może być wynikiem powtarzających się niepowodzeń w pobieraniu okupów. Stawianie wysokich, niepraktycznych żądań bez możliwości negocjacji może zniechęcić ofiary do płacenia. FunkSec również kiedyś sprzedawał swoje ransomware za 1000 USD w BTC.

Rysunek 9: Styczeń 2025, koszt deszyfratora FunkSec 2.0

Rysunek 10: Styczeń 2025, koszt deszyfratora FunkSec 2.0

Alternatywy ataku i ponowna wiktymizacja

Trwają prace nad aktualizacją FunkSec w wersji 2.0. Hakerzy skupiają się na innych technikach, dopóki nowy kod nie będzie gotowy. Techniki te, które mogą mieć mniej wymagań i zasobów potrzebnych do ich pomyślnego wykonania, obejmują angażowanie się w inżynierię społeczną, stosowanie metod polegających na LOLBins (żyjących z plików binarnych i skryptów) lub wykorzystywanie słabości, takich jak wycieki danych uwierzytelniających.

Podczas gdy aktualizacja FunkSec v2 jest w fazie rozwoju, liczba ofiar tego gangu nie zmniejszyła się znacząco. Jest to prawdopodobnie wynik ponownej wiktymizacji. FunkSec się domagał wielu okupów od ofiar, które wcześniej zostały zaatakowane przez inne znane grupy ransomware. Hakerzy zdobywają wyciekłe dane z innych źródeł i grożą ich dystrybucją. Innymi słowy, wykonywanie ransomware nie jest jedyną strategią FunkSec.

FunkSec uzyskuje dostęp do naruszonych danych i sprzedaje je w celu osiągnięcia zysku. W rezultacie liczba organizacji będących ofiarami, których dotyczy kod FunkSec, jest prawdopodobnie znacznie niższa niż początkowe roszczenia ponad 80 ofiar zidentyfikowanych w grudniu. Wymuszanie pieniędzy od kolejnych ofiar to tylko jedna z taktyk, która umożliwiła FunkSec kontynuowanie działalności. Grupa odnotowałaby jednak wzrost w innym obszarze: partnerstwach.

W niedawnym wpisie zatytułowanym Hexagon Extortion, FunkSec opisuje nadchodzący model swoich operacji oznaczony FunkSec 3.0. Obejmuje on kilka faz, w tym szyfrowanie i eksfiltrację, wywieranie nacisku na ofiarę, uruchamianie ataków DDoS, aukcje danych ofiar, atakowanie rodzin ofiar i ich powiązań oraz wyciek danych ofiar. Chociaż umieszczenie tych działań operacyjnych na stronie FunkSec może wydawać się dziwne, komunikowanie ich może być jedną z kilku metod, dzięki którym FunkSec może przyciągnąć większą uwagę i podnieść swoją reputację.

Rysunek 11: FunkSec – Hexagon Extortion: Operacja

Droga FunkSec do wzrostu

Ruchy FunkSec wydawały się sporadyczne, a nawet niezorganizowane od listopada 2024 r. do początku stycznia 2025 r. W tym czasie hakerzy zgłosili ponad 80 ofiar, jednak ograniczona aktywność FunkSec na ich stronie, która wciąż ulegała zmianom, oraz brak opublikowanych inicjatyw były wskaźnikami wskazującymi na wewnętrzne wyzwania. Wyzwania te mogą być przypisane niewystarczającej liczbie pracowników lub problemom rozwojowym powstającej grupy ransomware. Czynniki te w połączeniu z pojęciem, że FunkSec ma status czeladnika w sferze RaaS ze względu na ograniczoną wiedzę w zakresie tworzenia kodu, sprawiły, że niektórzy zastanawiali się, w jaki sposób grupa mogłaby przetrwać w nadchodzących miesiącach.

FunkSec wykorzystał partnerstwo i współpracę, aby się rozwijać. Jest to widoczne w ich postach, które deklarują nowe i nadchodzące programy partnerskie, co pozwala im rozszerzyć swoje operacje i realizować kampanie wspierane przez inne grupy ransomware. FunkSec utworzył sojusze, dołączając do Kosmos i FSociety. FunkSec napisał, że Kosmos zaoferuje własny rynek sprzedaży naruszonych danych. Rozszerzył on nawet opcje językowe na swojej stronie, aby obejmowały nie tylko angielski i francuski (język szeroko używany w Algierii), ale także mandaryński i rosyjski.

Kim jest Fsociety?

FSociety to podmiot zagrażający, który wiosną 2023 r. i kilka miesięcy później dopuścił się serii wycieków danych. Na początku 2024 r. FSociety zastosowało taktykę podwójnego wymuszenia, wdrażając ransomware i eksfiltrując dane ofiar. W połowie stycznia 2025 r. użytkownik o nazwie FSOCIETY ogłosił partnerstwo między FSociety i FunkSec na forum FunkSec. Użytkownik FSOCIETY na forum FunkSec ma oznaczenia Mod i DAMN. Użytkownik opublikował również wyciekłe dane na forum FunkSec, umożliwiając użytkownikom dostęp do nich za pośrednictwem linków MEGA.

Rysunek 12: Ogłoszenie ze stycznia 2025 r. — Partnerstwo FSociety

FSociety używa ransomware o nazwie Flocker. Grupa ma również program partnerski przeznaczony dla zwolenników FunkSec i innych, takich jak brokerzy dostępu, hakerzy i insiderzy.

Rysunek 13: FSociety zachęca członków do dołączenia do FunkSec Forum

Kandydaci na członków FSociety muszą przejść rozmowę kwalifikacyjną i przedstawić dowód swojego zawodu oraz umiejętności wykonywania pracy i budowania długoterminowych partnerstw. Kandydaci na członków FSociety muszą uzyskać dostęp do systemu lub sieci, zanim będą mogli dołączyć. Korzyści ze stania się członkiem FSociety obejmują dostęp do Flocker V5 builder z funkcjonalnością command-and-control, krypto stealer, keylogger, Flocker RAT, funkcjonalność DDoS, całodobowe wsparcie i podręcznik zaawansowanych metod ataków. Wsparcie dla agentów AI jest również oczekującą funkcją.

Rysunek 14: Wymagania sieci partnerskiej FSociety

FSociety to jedna z grup powiązanych z FunkSec. Inne powstające grupy mogą uznać za korzystne nawiązanie z nimi współpracy. Naukowcy spekulowali również na temat podobnej relacji rozwijającej się między FunkSec i Bjorka (Babuk 2).

FunkSec i Bjorka – partnerzy Posera czy rywale?

Aktor zagrożeń o nazwie Bjorka ma korzenie hakerskie i jest powiązany z szeregiem naruszeń mających wpływ na organizacje indonezyjskie. Użytkownik o tej samej nazwie regularnie publikował posty na BreachForums w 2022 i 2023 roku. W 2024 roku aktor zagrożeń udostępnił wyciekłe dane ofiar opublikowane przez FunkSec na DarkForums. Bjorka potwierdził również swój udział w kilku atakach FunkSec na swoim kanale Telegram, zmieniając nazwy odniesień do swoich ataków z Bjorka na Bjorkanism Ransomware (FunkSec).

Bjorka wchodzi na czat z postem o 1000 dolarów za tatuaż

Bjorka to użytkownik, który dołączył do serwisu FunkSec w styczniu 2025 r. Na FunkForum Bjorka odpowiedział na post scorpiona na Mirrors i wyraził zainteresowanie zostania członkiem FunkSec.

Rysunek 15: Pierwszy komentarz Bjorka na stronie FunkSec

Kilka dni później Bjorka skontaktował się ze scorpionem. Ich wymiana zdań została uchwycona w poście na Funk Forum autorstwa scorpiona zatytułowanym mafia boss. Na czacie Bjorka wspominał o wcześniejszej współpracy z KillSec jako twórcą ich logo i o możliwości otrzymania 1000 dolarów.

Zapłata w wysokości 1000 $ była przeznaczona na zaprojektowanie logo grupy i zrobienie sobie tatuażu. Bjorka twierdził, że KillSec oferował tę zachętę finansową; użytkownik chciał zaproponować podobną ofertę FunkSec, ponieważ nie mógł skorzystać z okazji z LockBit. Pomysł ten został jednak odrzucony przez scorpiona, który stwierdził, że FunkSec to nie KillSec i że przekażą 1000 $ Palestynie.

Rysunek 16: Post Skorpiona o wymianie z Bjorką

Rysunek 17: Wzmianka Bjorka o KillSec

Rysunek 18: Reakcja skorpiona

Kilka tygodni później scorpion opublikował zdjęcie osoby, rzekomo właściciela BABUK (Bjorka), z tatuażem FunkSec na ramieniu i zaproponował, że być może w przyszłości przekaże Bjorka 10 000 dolarów. W momencie publikacji tego artykułu wiele postów i odniesień do użytkownika Bjorka na FunkForum nie znajduje się już na stronie, a użytkownik nie jest już obecny na stronie.

Rysunek 19: Luty 2025, post skorpiona o Babuk

Rysunek 20: Tatuowanie FunkSec

Związek Bjorka z FunkSec

Pomimo niecodziennej wymiany zdań między Bjorka i scorpionem, istnieją dane sugerujące, że może istnieć współpraca między Bjorka (Babuk 2) i FunkSec.

W styczniu 2025 r. Babuk 2 (Bjorka) zaatakował wiele ofiar. Niektóre z tych ofiar zostały już zgłoszone przez grupy takie jak FunkSec i LockBit 3.0. Oficjalne powiązanie między tymi dwoma aktorami zagrożeń nie zostało ustalone; jednak prawdopodobne jest, że Babuk 2 nawiązał relację kupującego, aby sprzedawać skradzione dane, tak jak robi to FunkSec.

Kontrargument może również wyjaśnić zachowanie Bjorka (Babuk 2). Bjorka może udawać, że posiada skradzione zestawy danych, aby wyłudzać pieniądze od ofiar, budować swoją reputację i konkurować z innymi podmiotami stowarzyszonymi. Na początku lutego Babuk 2 ogłosił również wyciek LockBit v4 builder. Był to podstęp mający na celu zainfekowanie systemów złośliwym oprogramowaniem, co miało na celu realizację ich własnych planów.

Rysunek 21: Wydanie Babuk LockBit 4.0 Builder

FunkSec i współpracownicy: Zjednoczeni przez hakerstwo

Co pozwala kilku różnym grupom, takim jak Kosmos, FSociety i potencjalnie Babuuk2, połączyć się z FunkSec? Hacktywizm. Ghost Algeria był aktorem zagrożenia o korzeniach hakerskich. I w ten sposób pasuje do działań kampanii Bjorka z przeszłości.

Pracując nad jednym celem, zakłócenie operacji poprzez ujawnienie danych lub szyfrowanie pozwala grupom ransomware z mniejszymi zasobami na tworzenie sojuszy i zdobywanie większej reputacji. Tworzy również szerszą sieć dla rynków docelowych i krajów.

Podczas gdy hacktywizm może napędzać programy partnerskie i procesy rekrutacyjne, może również stwarzać dalsze ryzyko. Jeśli FunkSec utworzy partnerstwa, a konflikty między współpracownikami pojawią się w wyniku zmian gospodarczych lub przeciwstawnych nastrojów wobec grup geopolitycznych, istnieje zwiększone ryzyko nielojalności, wewnętrznej konkurencji lub zakończenia partnerstw.

FunkSec – Aktualna wiktymologia i rozważania

Do tej pory kilka krajów padło ofiarą ataków FunkSec. Podczas gdy zasady zaangażowania FunkSec w regionach, które są celem ataków, są nieznane, skłonności do współpracy prochińskiej i prorosyjskiej mogą wskazywać, że organizacje z siedzibą na Tajwanie, Filipinach i Malezji również są zagrożone.

Rycina 22: Aktualna mapa ofiar regionalnych

Taktyki, techniki i procedury FunkSec

Wykonanie

Aktor zagrożenia uruchamia ransomware FunkSec, wykorzystując natywne interfejsy API lub skrypt programu PowerShell.

Trwałość

Trwałość jest ustanawiana przez przejęcie przepływu wykonywania programu.

Eskalacja uprawnień

Eskalacja uprawnień następuje poprzez wstrzyknięcie procesu, w którym złośliwy proces jest osadzany w istniejącym procesie.

Unikanie obrony

Ransomware FunkSec ma możliwości unikania obrony, w tym wyłączanie/modyfikowanie narzędzi, systemu lub zapory, unikanie oparte na czasie, usuwanie plików, modyfikację rejestru i unikanie debugera.

Dodatkowe unikanie obrony

Inne cechy unikania obrony obejmują modyfikację uprawnień plików i katalogów systemu Windows oraz zmianę atrybutów plików NTFS. Używają również timestompingu, powszechnej techniki antyforensycznej używanej do zmiany znaczników czasu plików.

Odkrywanie

Odkrywanie połączeń sieciowych systemu, odkrywanie oprogramowania zabezpieczającego, odkrywanie udziałów sieciowych, odkrywanie okien aplikacji, rejestr zapytań.

Wpływ

Ransomware FunkSec szyfruje pliki znajdujące się w C:\ w systemie docelowym i usuwa początkowe iteracje plików, dodając rozszerzenie .funksec do wszystkich dotkniętych plików. Ransomware jest również w stanie zablokować odzyskiwanie systemu, zatrzymać usługi i oszpecić dotknięte witryny. Wiadomo, że sprawca zagrożenia zmienia profil lub tło witryn, zastępując je logo FunkSec i powiadomieniem informującym ofiarę o ataku.

Fragmenty notatki FunkSec ransomware obejmują: Co się stało, Szczegóły okupu, Jak kupić Bitcoin, Kim jesteśmy i Witryny do odwiedzenia.

W sekcji Co się stało ofiara zostaje poinformowana, że utraciła swoje dane z powodu ransomware FunkSec i nie może ich odzyskać bez deszyfratora. Ofiara ma adres portfela Bitcoin odbiorcy i zaleca się jej skontaktowanie się z FunkSec po uzyskaniu dostępu do kanału za pośrednictwem unikalnego identyfikatora sesji w celu zakupu deszyfratora. Obecny deszyfrator FunkSec to 0,01 BTC, co stanowi około 900-1000 USD w zależności od aktualnego kursu.

Rysunek 23: Uwaga dotycząca oprogramowania FunkSec Ransomware

Zalecenia związane z ochroną przed ransomware

Istnieją wielowarstwowe strategie, które organizacja może wdrożyć, aby pomóc chronić się przed atakiem ransomware. Organizacja może włączyć najlepsze praktyki do swojego programu bezpieczeństwa korzystać ze skutecznych systemów antywirusowych, np. produktów z linii Bitdefender GravityZone, aby rozwiązać luki w środkach bezpieczeństwa Zapobiegania, Ochrony, Wykrywania i Reagowania. Zalecenia zawarte poniżej są pomocne dla organizacji, która chce złagodzić i zminimalizować wpływ zagrożeń ransomware.

Ustal praktyki odzyskiwania danych i odporności: Zaplanuj częste tworzenie kopii zapasowych; jest to ważne, ponieważ zapewnia możliwość przywrócenia krytycznych danych i systemów w przypadku naruszenia bezpieczeństwa. Zaleca się przechowywanie kopii zapasowych w lokalizacji offline i/lub środowisku w chmurze, które jest oddzielone od głównej sieci. Ponadto zapewnienie regularnego testowania kopii zapasowych jest niezbędne, aby zweryfikować, czy nie występują żadne problemy wpływające na integralność danych.

Wdrażaj świadomość bezpieczeństwa i szkolenia: Wprowadź regularne szkolenia dotyczące świadomości cyberbezpieczeństwa, które skupiają się na identyfikowaniu i zgłaszaniu przypadków phishingu i inżynierii społecznej. Naucz pracowników, jak rozpoznawać podejrzane wiadomości e-mail, linki i załączniki, które mogą być wykorzystywane do dostarczania złośliwych ładunków.

Wdrażaj rozwiązania bezpieczeństwa poczty e-mail: Używaj rozwiązań filtrowania poczty e-mail, aby blokować złośliwe wiadomości e-mail, załączniki i łącza. Dodaj dodatkową ochronę, włączając piaskownicę załączników; umożliwia to skanowanie w czasie rzeczywistym, proaktywnie identyfikując oprogramowanie ransomware zawarte w załącznikach przed dostarczeniem załącznika użytkownikowi. Wyłącz makra w dokumentach Microsoft Office domyślnie, aby wyeliminować możliwości użycia makr przez atakującego w celu dostarczania ładunków oprogramowania ransomware.

Zarządzaj poprawkami: Regularnie łataj i wdrażaj aktualizacje we wszystkich programach, systemach operacyjnych i aplikacjach. Upewnij się, że krytyczne aktualizacje są stosowane niezwłocznie, szczególnie w przypadku podatnych na ataki systemów zdalnego dostępu: VPN, RDP i zapór sieciowych.

Wdrażaj rozwiązania Endpoint Detection and Response: Wdrażaj zaawansowane rozwiązania Endpoint Protection (EDR) w celu wykrywania i blokowania ransomware. Używaj technologii Bitdefender GravityZone EDR, które wykorzystują zarówno wykrywanie behawioralne, jak i heurystyczne, aby zapewnić, że początkowe wektory infekcji są dokładnie wykrywane i eskalowane w celu zbadania. Włącz wykrywanie zagrożeń w czasie rzeczywistym i automatyczne odpowiedzi, aby umożliwić działania, które skutkują izolowaniem naruszonych urządzeń lub blokowaniem złośliwych procesów.

Wykonaj plan reagowania na incydenty, który obsługuje szybką reakcję: Utrzymuj dojrzały proces reagowania na incydenty, aby wspierać szybkie działania reagowania. Szybka reakcja jest istotną częścią łagodzenia skutków ransomware, a czasu nie można marnować. Upewnij się, że zespół ds. bezpieczeństwa ma ludzi, procesy i technologie, aby właściwie zbadać incydent i zareagować na niego, np. blokując adresy IP, zatrzymując procesy lub izolując hosty, aby odciąć atakującemu dostęp do krytycznych danych i zasobów, aby zapobiec dalszej eksploatacji.

Skorzystaj z Advanced Threat Intelligence dzięki IntelliZone: Bitdefender IntelliZone to rozwiązanie, które konsoliduje wszystkie dane, które zebraliśmy na temat cyberzagrożeń i powiązanych z nimi aktorów zagrożeń, w jednym panelu dla analityków bezpieczeństwa, w tym dostęp do usługi analizy złośliwego oprogramowania nowej generacji Bitdefender. Jeśli masz już konto IntelliZone, możesz znaleźć dodatkowe informacje o FunkSec pod następującymi identyfikatorami zagrożeń: BDm5hduttq, BD86b77tr7, BDi06ii0lz, BDn71lopj2, BD71rckrrz, BDwxfsig8j.