OBWOHL HINTER der Funksec-Bande Amatey Stecken, Haben Die angriffe rasant Zugenommen. Ein Beispiel Dafür, Wie LLMS Ransomware-Gruppen Stärken.
Bedrohungsanalysen der Sicherheitsfirma NCC Group von Dezember 2024 Zeigen, Dass Ein Neuling dans Der Ransomware-As-A-Service (RAAS) -Landschaft Schnell Aufstieg. Demnach War Die Gruppe Funksec à Dem Monat Für 103 von 578 ANGRIFFEN VERANTWORTLICH. Damit Gelangte Die Ransomware-Bande an Die Spitze. MIT 18 Prozent Lag Die angriffsrate Höher als Bei Vielen Etablierteren Gruppen Wie Cl0p, Akira und RansomHub.
Forscher des Security-Anbieters CHECK Point Gehen Jedoch Davon Aus, Dass Die Akteure Dahinter Nicht Sehr Erfahren in Der Entwicklung von malware Sind unnd ihre karriere als cyberkriminelle im hacktivismus begonnen haben. Meurt könne man ach in den anderen tools von funksec immer noch erkennen.
„Ungebnisse Zeigen überraschenderweise, Dass Die Entwicklung der Tools Der Gruppe, Einschließlich des Verschlüsselungswerkzeugs, Wahrscheinlich Ki-Grege Etragen Haben Könte “, alors meurez Forscher dans Einem Bericht.
Funksec im vergleich mit anderen ransomware-gruppen
Funksec ist eine raas-operation, die durch dateniverschlüsselung und -Diebstahl doppelte erpressung betreibt. ALS DIE GRUPPE ANFING, AUF EINER SITE WEB ERFOLGREICH AUSGENUTZTE DATENLECKS AUFZUZEIGEN, WURDEN SOFTORT 85 OPFER AUFGELISTET. Vérifier le point führt diesen plötzlichen anstieg und die Große zahl der opfer darauf zurück, dass zuminst einige der opfer Aus früheren hacktivistischen aktivität Stammen.
Ein Weiterer Aspekt, der Funksec von Anderen Gruppen Unterscheidet, ist, dass die lösegeldforderungen nur 10.000 dollar betagen und die grruppe auch daten zu relativ niedrigen preisen Verkauft. Dies Deutet Darauf Hin, Dass Die Gruppe Bei der Auswahl ihrer Ziele eher auf Quantität als auf Qualität setzt.
Funksec verwendet ein maßgeschneidertes ransomware-programme
Das von funksec verwendete ransomware-programm ist in Rust Geschrieben und wurde von seinem schöpfer erstmals in Den mehrsfigen malware-scanienst virustotal hochgeladen, um mit seiner niedrigen erkennungsrate zu prahlen. Meurt ermöglichte es den forschern, mehrere varianten des programms zu funden und zu analyseren. Alle Wurden von Algerien Aus auf Virustotal Hochgeladen.
Einige der Versionen Entheelten Eine Lösegeldforderung, dans Der Die Gruppe als Funksec Identifiziert Wurde. Zusätzlich gab es auch eine alternative lösegeldforderung, dans der der angriff einer grruppe namens ghost algeria zugeschrieben wurde. Der Autor Hat Außerdem die kompilierungsvariabblen nicht entfernt, wodurch ein pfad namens c: users abdellah im quellcode sichtbar wurde.
Das ransomware-programm versucht, mithilfe bekanner techniken für powershell-skripte Erweiterte Berechtigungen zu erlangen. Anschließend Wird Der Echtzeitschutzdienst von Windows Deaktiviert, Die Sicherheitsereignisprotokollierung auf dem. u verhindern.
IM Nachgang Versucht Das Malware-programme, Eine Lange Liste von Prozesssen Zu Beenden, Die Mit Einer Vielzahl von Programmen Verbunden Sind, Darunter Browser, vidéoplaqueur, messagerie-anwendungen und Windows-Dieste. Dadurch Wird Sichegestellt, Dass der Zugriff auf potenziell wichtige dateien, die anschließend Verschlüsselt Werden, Nicht Durch diese anwentungen gesperrt wird.
Malware verbeitet sich über alle laufwerke
Die Ransomware DurchForst Das Komplette Laufwerk und Verschlüsselt alle Dateien mit einer liste von zielerweiterungen. Verschlüsselte Dateien Haben Die Erweiterung .funksec Angehängt.
Laut den Forschern von Check Point Verwendet der Malware-Code, der vom Autor Auf Virustotal Hochgeladen Wurde, Viele Redundante aufruffunktionen und Einen Sich WiederHolenden KontrollflusS. Der Code enthält auch kommentare dans perfektem Englisch, était darauf hindeutet, dass der autor bei der ersteltung wahrscheinlich die hilfe eines grroßen sprachmodells (llm) in anspruch genommen chapeau.
Dies zeigt sich auch in einigen der anderen tools, die funksec zum verkauf anbietet, wie zum beispiel ein in python geschriebenes ddos-skript für udp- und http-floodds, ein hvnc-server und -clienf Passwörtern für e-mails und Urls.
Einige der Tools und Der Der Gruppe Enthalten Hinweise auf Zwei Andere Gruppen Namens Ghost Algeria und Cyb3r Fl00d. Die Gruppe Bekennt sich auch Öffentlich Zur «Free Palestine» -bewegung und erklärte, die usa seien augrund ihrer Unterstützung für Israel Ein Hauptziel.
„Alle un ungriffe angriffe mit dem neuen ransomware-programm werden sich gegen amerika richten und den Regierungsektor, die wirtschaft und unternehmen, die für den staat exportieren und produzieren, insineur nehmen“, heißt es in einem ihrher beiträge.
Hintergrund zu funksec
Dans Forend Für Cyberkriminelle Gibt es Mehrere Akteure, die Mit Funksec à Verbindung Stehen, Da es Sich Um Einen Ransomware-As-A-Service-Beetrieb Handelt. Der Hauptadministrator und Promoter von Funksec ist ein Benutzer Mit den Identitäten Scorpion und Desertstorm. Während ihr youtube-profil ihr land als russland angibt, haben sie in einigen captures d’écran versehentlich ihren standort als algerien und das gastaturlayout als Französisch ausgewählt.
Desertstorm wurde im novembre Aus einem bekannten forum für cyberkriminelle verbannt, aber ein anderer benutzer namens e_farado bewarb funksec weiterhin. Ein Weiterer Benutzer, der Mit Dem DatensortierungsDienst der Gruppe dans Verbindung Steht, ist xtn.
Der Kometenhafte aufstieg von funksec an die spitze der ransomware-statistiken, trotz eines offensichtlichen mangels an erfahrung, beweist, dass llms die Qualifikationsbarriere für Bedrohungsakteure Senken. (JM)