Группа программ-вымогателей FunkSec привлекла внимание экспертов в области кибербезопасности после значительного увеличения числа жертв, среди которых более 120 организаций из различных секторов, включая правительство, оборону, финансы, технологии и образование. Их активность значительно возросла в конце 2024 года, когда был запущен сайт по утечке данных, что свидетельствует о расширении их методов атаки.
Основные характеристики FunkSec
Несмотря на упоминания об использовании искусственного интеллекта (ИИ) в деятельности FunkSec, эксперты утверждают, что это не повышает уровень их угрозы. Техническое исполнение, базирующееся на уже существующем коде и вредоносном ПО, разработанном с помощью ИИ, выглядит довольно примитивно. Ключевые особенности группы следующие:
- Зависимость от автоматизированных процессов разработки кода.
- Использование адаптированных вариантов вредоносного ПО, а не уникальных решений.
- Недостаток кастомизации и наличие избыточных ссылок в коде программ-вымогателей.
Инновационные подходы и тактики
FunkSec демонстрирует тактическую эволюцию, сохраняя присутствие в Интернете. Сайт по утечке данных и специализированная платформа для аукциона украденных данных, названная FunkBID, стали важными инструментами их стратегии:
- Разработан форум для пользователей, где обсуждаются деятельность на черном рынке и программ-вымогатели.
- Механизм аукционов позволяет получать выгоду от данных без традиционных атак.
- Премиум-членство стимулирует участие пользователей.
Правильный подход к повторным атакам
Операционная модель FunkSec предполагает стратегию повторной виктимизации, нацеленную на организации, ранее скомпрометированные другими группами программ-вымогателей. Группа собирает утечки данных для оказания давления на жертв и расширяет свои незаконные операции за счет сотрудничества с другими программами-вымогателями.
Технические аспекты атак
Программы-вымогатели группы обычно активно используют собственные API-интерфейсы или сценарии PowerShell, что позволяет оптимизировать скрытность и эффективность. Их стратегические технологии включают:
- Внедрение процессов для обеспечения постоянства в среде жертв.
- Методы уклонения от защиты, такие как отключение средств защиты и манипуляция атрибутами файлов.
- Использование криминалистических методов, включая отслеживание времени.
Финансовые требования и последствия
Программы-вымогатели FunkSec шифруют файлы на диске C: и изменяют их расширения, объявляя о требовании выкупа. Первоначальная сумма, достигавшая 1 миллиона долларов, в последнее время снизилась, что может свидетельствовать о проблемах в операциях. Также группа манипулирует скомпрометированными веб-сайтами и вымогает у жертв ключи дешифрования, стоимость которых сейчас составляет около 0,01 BTC.
Заключение
Несмотря на то что FunkSec демонстрирует инновационные подходы в своей деятельности, их функциональность ограничена недостатками в технических знаниях и исполнении. Эта угроза подчеркивает необходимость дальнейшего изучения и разработки более надежных методов киберзащиты для предотвращения атак программ-вымогателей.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "FunkSec: Адаптивные угрозы программ-вымогателей на стыке технологий".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.