La montée en puissance du ransomware de Funksec, qui se concentre sur l’extorsion via le cryptage des fichiers et le vol de données, montre comment les LLMs autonomisent les groupes de ransomwares.
Les rapports de menaces pour décembre ont montré un nouveau venu dans le paysage des ransomwares en tant que service (RAAS) grimpant rapidement dans les rangs. Appelé Funksec, ce groupe semble exploiter une IA générative dans son développement de logiciels malveillants et ses fondateurs sont liés à l’activité hacktiviste.
Funksec était responsable de 103 des 578 attaques de ransomwares suivis par la société de sécurité NCC Group en décembre, ce qui le place au premier rang pour le mois avec 18% – plus élevé que des groupes beaucoup plus établis tels que CL0P, Akira et RansomHub.
Cela dit, les chercheurs de la société de sécurité Check Point pensent que ses créateurs ne sont pas très expérimentés dans le développement de logiciels malveillants et ont eu leurs débuts de carrière cybercriminale dans le hacktivisme, un aspect toujours visible dans les autres outils de Funksec.
« Dans une découverte surprenante, nos résultats indiquent que le développement des outils du groupe, y compris l’encrypteur, était probablement assisté par l’IA, ce qui peut avoir contribué à leur itération rapide malgré le manque apparent d’expertise technique des auteurs », ont déclaré les chercheurs en un rapport.
Soudaine augmentation à une importance liée aux activités des autres groupes
Funksec est une opération RAAS qui s’engage dans une double extorsion via le chiffrement des fichiers et le vol de données. Le groupe a lancé son site de fuite de données, où il a rapidement répertorié 85 victimes, ce qui est impressionnant pour un groupe qui n’a pas d’histoire ou de connexion apparente dans l’écosystème des ransomwares.
Selon Check Point, une explication de cette augmentation soudaine et du grand nombre de victimes est qu’au moins certaines des victimes et des fuites affichées sur son site ont été recyclées à partir d’activités précédentes liées au hacktiviste.
Un autre aspect qui distingue Funksec des autres groupes est que ses demandes de ransomwares sont aussi bas que 10 000 $ et la vente de données à des prix relativement faibles. Cela suggère que le groupe se concentre sur la quantité plutôt que sur la qualité dans la sélection des cibles.
Funksec utilise un programme de ransomware personnalisé
Le programme Ransomware utilisé par Funksec est écrit en rouille et a été téléchargé pour la première fois sur le service de balayage malware Virustotal multi-moteur par son créateur dans le but de se vanter de son faible taux de détection. Cela a permis aux chercheurs de trouver et d’analyser plusieurs variantes du programme qui ont toutes été téléchargées sur Virustotal depuis l’Algérie.
De plus, alors que certaines versions avaient une note de ransomware identifiant le groupe comme Funksec, d’autres avaient une note de rançon alternative attribuant l’attaque à une tenue appelée Ghost Algeria. L’auteur n’a pas non plus supprimé les variables de compilation, révélant un chemin appelé C: Users Abdellah dans le code source.
Le programme Ransomware tente d’obtenir des privilèges élevés en utilisant des techniques connues pour les scripts PowerShell, puis procède à désactiver le service de protection en temps réel de Windows Defender, la journalisation des événements de sécurité sur le système et la journalisation des événements d’application, supprimer les restrictions placées sur l’exécution de PowerShell, et enfin supprimer le volume Des copies d’ombre pour empêcher la restauration du système.
Le programme de logiciels malveillants tente ensuite de tuer une longue liste de processus associés à une variété de programmes, y compris des navigateurs, des lecteurs vidéo, des applications de messagerie et des services Windows. Cela garantit que l’accès à des fichiers potentiellement importants qui seront ensuite cryptés ne sont pas verrouillés par ces applications.
Les logiciels malveillants se répandent sur tous les disques et sous-répertoires
Le ransomware irara ensuite sur toutes les lettres de lecteur et reviendra via toutes les sous-répertoires, cryptant tous les fichiers avec une liste d’extensions ciblées. La routine de chiffrement des fichiers utilise l’algorithme Chacha20 avec des clés éphémères. Les fichiers cryptés ont l’extension .funksec qui leur est jointe.
Selon les chercheurs de Check Point, le code malveillant – dont une partie a également été téléchargé sur Virustotal par son auteur pour une raison quelconque – utilise de nombreuses fonctions d’appel redondantes et répétant le flux de contrôle. Le code a également des commentaires en anglais parfait, un signe que l’auteur a probablement utilisé l’assistance d’un modèle de grande langue (LLM) dans sa création.
Ceci est également visible dans certains des autres outils que Funksec propose à vendre, comme un script DDOS écrit en Python pour les inondations UDP et HTTP, un serveur HVNC et un client pour la gestion à distance, et un outil de grattage de mot de passe pour les e-mails et les URL.
Certains des outils et des fuites du groupe avaient des notes sur deux autres groupes appelés Ghost Algeria et CyB3R FL00D. Le groupe s’aligne également publiquement sur le mouvement de la «Palestine libre» et a déclaré que les États-Unis étaient une cible principale en raison de son soutien à Israël.
« Toutes nos grèves avec le nouveau programme de ransomwares seront destinées à l’Amérique, ciblant le secteur gouvernemental, l’économie et les entreprises qui exportent et produisant pour l’État », a déclaré le groupe dans l’un de ses postes.
L’ascension de Funksec montre comment les LLMS autorisent les groupes de ransomware
Il existe plusieurs individus associés et promouvoir le FORKSEC sur les forums cybercriminaux. Après tout, cela vise à être une opération de ransomware en tant que service, il est donc commercialisé pour d’autres cybercriminels qui peuvent devenir affiliés et déployer le programme sur les ordinateurs pour une commission.
L’administrateur principal et promoteur de Funksec est un utilisateur avec l’identité Scorpion et Desertstorm. Alors que leur profil YouTube répertorie leur pays en tant que Russie, dans certaines captures d’écran, ils ont divulgué par inadvertance leur emplacement en tant qu’algérie et mise en page du clavier comme français.
Desertstorm a été interdit d’un forum de cybercriminal proéminent en novembre, mais un autre utilisateur connu sous le nom de EL_FARADO a continué à promouvoir Funksec. Un autre utilisateur associé au service de tri de données du groupe est XTN.
La montée funksec de Funksec au sommet des statistiques des ransomwares, malgré un manque d’appareil d’expérience, prouve que les LLM réduisent la barrière des compétences pour que les acteurs de la menace réussissent dans le jeu des ransomwares. Il reste à voir si le groupe parviendra à gagner suffisamment de traction, à attirer des affiliés et à améliorer son programme de ransomwares pour devenir une menace bien établie plutôt qu’un simple coup de chance d’un mois.