Obten 20% de descuento en productos seleccionados
FunkSec: Un Grupo de Ransomware Centrado en IA y Potenciado por Afiliados
FunkSec: Un Grupo de Ransomware Centrado en IA y Potenciado por Afiliados
FunkSec es un grupo de ransomware que ha ganado mayor reconocimiento en el último mes debido al creciente número de víctimas y su presencia entre otros grupos de amenazas. Sus víctimas, que suman más de 120 organizaciones afectadas, incluyen sectores como el gobierno y la defensa, tecnología, finanzas y educación. FunkSec ha reclamado víctimas en varios países, destacando Estados Unidos, India, España y Mongolia. Los primeros informes de incidentes de FunkSec surgieron en noviembre de 2024, y el grupo añadió un sitio de filtración de datos en diciembre.
Numerosos informes afirman que el aumento de la actividad de FunkSec desde finales de 2024, junto con su uso de IA, los convierte en una amenaza altamente peligrosa y compleja. En realidad, ocurre lo contrario. El uso de IA por parte de FunkSec por sí solo no los hace destacables ni una amenaza que merezca un monitoreo constante. Comprender las implicaciones de la IA, su entrada en el ecosistema de RaaS (ransomware como servicio) y los informes que identifican iteraciones de su código pueden ofrecer algunas perspectivas. Sin embargo, las tácticas de FunkSec, como las mejoras estratégicas en su sitio de filtración de datos, combinadas con su enfoque de revictimización y colaboraciones con otros grupos de amenazas, los posicionan como un actor de amenazas que podría ver avances rápidos para elevar sus capacidades y expandir sus oportunidades para ejecutar campañas con un apoyo continuo.
Ingreso al Ecosistema de RaaS con la Ayuda de IA
La inteligencia artificial se utiliza en las operaciones de ransomware por varias razones. Es importante entender las oportunidades que existen para ingresar al ecosistema de RaaS con IA y cómo FunkSec la ha aprovechado en sus propias operaciones.
Un grupo de ransomware establecido que ha demostrado un dominio de los elementos y marcos de codificación necesarios puede usar la IA para reforzar sus esfuerzos de desarrollo de explotación y ahorrar tiempo y recursos mientras mejora el código existente.
Sin embargo, desarrollar el malware inicial diseñado para robar datos, hacerlos inaccesibles y/o financiar una empresa criminal es una tarea abrumadora para un grupo recién formado. Es por lo que algunos grupos emergentes implementan ransomware basado en el código filtrado de variantes comunes. Otros grupos modelan y refinan su código basándose en elementos disponibles en GitHub y varios repositorios de código abierto.
Otra opción para un grupo de amenazas menos establecido y experimentado que quiere desarrollar y ejecutar ransomware implica el uso de IA para crear el código en sí.
Esto alivia la carga de trabajo del grupo y reduce las barreras para ingresar al ecosistema de RaaS. FunkSec usa GenAI para crear su código de ransomware; el propósito principal del ransomware es realizar el cifrado. También modifica la configuración del sistema y lleva a cabo actividades de reconocimiento del sistema y evasión de defensas.
Uso de IA por FunkSec, Comportamientos Asociados y Limitaciones
FunkSec ha utilizado la IA para desarrollar código para un encriptador, que es una capacidad esencial para un grupo de ransomware. Aunque el uso de IA por parte de FunkSec puede parecer ingenioso a simple vista, resalta el entendimiento limitado del grupo sobre el desarrollo de código. FunkSec también ha demostrado un patrón de comportamiento que sugiere una dependencia de la IA, probablemente para compensar las lagunas en su conocimiento.
Un comportamiento que establece una conexión con el uso constante de IA por parte de FunkSec es la implementación y retención de código con comentarios en inglés conciso. El lenguaje representado en el código difiere significativamente del lenguaje poco fluido que se presenta en el sitio de FunkSec y en las publicaciones de su foro.
El uso de IA por FunkSec también se revela al comparar los comentarios encontrados en su código de ransomware con otros scripts que el grupo ha lanzado. Las herramientas que FunkSec ha usado en el pasado incluyen el script en Python ddos1.py, que ejecuta un ataque DDoS, y FunkGenerator o funkgenerate.zip. Además, FunkSec publicó actualizaciones sobre las primeras iteraciones del ransomware FunkSec junto con referencias a ReactGPT.
Alternativas de Ataque y Revictimización
Una actualización a la versión 2.0 de FunkSec está en progreso. ¿Qué debe hacer un grupo de ransomware que necesita una actualización mientras tanto? Se centran en otras técnicas hasta que el nuevo código esté listo. Estas técnicas, que pueden tener menos requisitos y recursos necesarios para ejecutarlas con éxito, incluyen involucrarse en ingeniería social, aplicar técnicas que dependen de LOLBins (binarios y scripts que aprovechan las herramientas del propio sistema) o explotar debilidades como credenciales filtradas.
Mientras se desarrolla la actualización a FunkSec v2, el número de víctimas reclamadas por FunkSec no ha experimentado un descenso significativo. Esto probablemente se deba a la revictimización. FunkSec ha reclamado numerosas víctimas que ya habían sido atacadas previamente por otros grupos de ransomware establecidos. Adquieren datos filtrados de otras fuentes y amenazan con distribuirlos. En otras palabras, ejecutar ransomware no es la única estrategia de FunkSec.
FunkSec accede a datos comprometidos y los vende con fines de lucro. Como resultado, es probable que el número de organizaciones afectadas específicamente por el código de FunkSec sea mucho menor que las afirmaciones iniciales de más de 80 víctimas identificadas en diciembre. Extorsionar a víctimas repetidas es solo una táctica que ha permitido a FunkSec continuar con sus operaciones. Sin embargo, el grupo vería un crecimiento en otra área: las asociaciones.
En una publicación reciente titulada «Hexagon Extortion», FunkSec describe un próximo modelo para sus operaciones denominado FunkSec 3.0. Implica varias fases, incluidas la encriptación y exfiltración de datos, ejercer presión sobre la víctima, lanzar ataques DDoS, subastar los datos de la víctima, apuntar a las familias y conexiones de la víctima, y filtrar los datos de la víctima. Aunque la inclusión de estas actividades operativas en el sitio de FunkSec puede parecer extraña, comunicarlas podría ser uno de varios métodos para que FunkSec atraiga más atención y eleve su reputación.
El Camino de Crecimiento de FunkSec
Los movimientos de FunkSec parecían esporádicos e incluso desorganizados desde noviembre de 2024 hasta principios de enero de 2025. Reclamaron más de 80 víctimas en ese momento, sin embargo, la actividad limitada en su sitio, que aún estaba en proceso de cambios, y la falta de iniciativas publicadas eran indicadores que apuntaban a desafíos internos. Estos desafíos podrían atribuirse a una dotación de personal inadecuada o a los dolores de crecimiento de un grupo de ransomware emergente. Estos factores, combinados con la noción de que FunkSec tiene un estatus de principiante en el ámbito del RaaS (Ransomware as a Service) debido a su limitado conocimiento en desarrollo de código, dejaron a algunos preguntándose cómo el grupo podría persistir en los meses venideros.
FunkSec ha utilizado la asociación y la colaboración para avanzar. Esto es evidente con sus publicaciones que declaran nuevos y próximos programas de afiliación, lo que les permite ampliar sus operaciones y ejecutar campañas respaldadas por otros grupos de ransomware. FunkSec ha formado alianzas, uniéndose a Kosmos y FSociety. FunkSec escribió que Kosmos ofrecería su propio mercado para la venta de datos comprometidos. FunkSec incluso ha ampliado las opciones de idioma en su sitio para incluir no solo inglés y francés (un idioma ampliamente utilizado en Argelia), sino también mandarín y ruso.
¿Quién es FSociety?
FSociety es un actor de amenazas que participó en una serie de filtraciones de datos en la primavera de 2023 y durante varios meses posteriores. A principios de 2024, FSociety adoptó tácticas de doble extorsión, desplegando ransomware y exfiltrando datos de las víctimas. A mediados de enero de 2025, un usuario llamado FSOCIETY anunció una asociación entre FSociety y FunkSec en el foro de FunkSec. El usuario FSOCIETY en el foro de FunkSec tiene las designaciones Mod y DAMN. El usuario también ha publicado datos filtrados en el foro de FunkSec, permitiendo a los usuarios acceder a ellos a través de enlaces de MEGA. FSociety utiliza un ransomware llamado Flocker. El grupo también tiene un programa de afiliados destinado a seguidores de FunkSec y a otros actores como brokers de acceso, hackers e infiltrados. Los candidatos a afiliados de FSociety deben completar una entrevista y mostrar pruebas de su ocupación y capacidad para realizar el trabajo y construir asociaciones a largo plazo. Los candidatos a afiliados deben asegurar el acceso a un sistema o red antes de poder unirse. Los beneficios de convertirse en afiliado de FSociety incluyen acceso al constructor Flocker V5 con funcionalidad de comando y control, un crypto stealer, keylogger, Flocker RAT, funcionalidad DDoS, soporte 24/7 y un manual de métodos avanzados de ataque. El soporte para agentes de IA también es una característica pendiente. FSociety es uno de los grupos vinculados a FunkSec. Otros grupos emergentes podrían encontrar beneficioso establecer una asociación de trabajo con ellos. Los investigadores también han especulado sobre una posible relación en crecimiento entre FunkSec y Bjorka (Babuk 2).
FunkSec y Bjorka: ¿Un afiliado falso o un rival ansioso?
El actor de amenazas llamado Bjorka tiene raíces hacktivistas y está asociado con una variedad de brechas que afectan a organizaciones indonesias. Un usuario con el mismo nombre publicaba regularmente en BreachForums en 2022 y 2023. En 2024, el actor de amenazas compartió datos filtrados de víctimas publicados por FunkSec en DarkForums. Bjorka también afirmó su participación en varios de los ataques de FunkSec en su canal de Telegram, renombrando las referencias a sus ataques de Bjorka a Bjorkanism Ransomware (FunkSec).
Bjorka entra en la conversación con una propuesta de $1000 para un tatuaje
bjorka es un usuario que se unió al sitio de FunkSec en enero de 2025. En FunkForum, bjorka respondió a la publicación de Mirrors de scorpion y expresó su interés en convertirse en un afiliado de FunkSec. Un par de días después, bjorka se acercó a scorpion. Su intercambio se captura en una publicación de Funk Forum por scorpion titulada mafia boss. En el chat, bjorka menciona una afiliación previa con KillSec como creador de su logotipo y una oportunidad para recibir $1000. El pago de $1000 era por diseñar el logotipo del grupo y tatuárselo. bjorka afirmó que
KillSec ofreció este incentivo financiero; el usuario quería proponer una oferta similar con FunkSec, ya que no pudo aprovechar la oportunidad con LockBit. Sin embargo, esta idea fue rechazada por scorpion, quien declaró que FunkSec no es KillSec y que preferirían dar $1000 a Palestina antes que dárselos a un estafador. Un par de semanas después, scorpion publicó una imagen de un individuo, supuestamente el propietario de BABUK (bjorka), con el tatuaje de FunkSec en su brazo y propuso que tal vez en el futuro le darían a Bjorka $10,000. Al momento de esta publicación, sin embargo, múltiples publicaciones y referencias al usuario bjorka en FunkForum ya no están en el sitio y el usuario ya no está presente en el sitio.
La conexión de Bjorka con FunkSec A pesar de los intercambios inusuales entre bjorka y scorpion, hay datos que sugieren que podría existir una relación de colaboración entre Bjorka (Babuk 2) y FunkSec. Durante enero de 2025, Babuk 2 (Bjorka) acumuló múltiples víctimas. Algunas de estas víctimas ya habían sido reclamadas por grupos como FunkSec y LockBit 3.0. No se ha establecido un vínculo oficial entre ninguno de los actores de amenazas; sin embargo, es probable que Babuk 2 haya establecido una relación de comprador para comercializar datos robados tal como lo hace FunkSec. Un contraargumento también podría explicar el comportamiento de Bjorka (Babuk 2). Bjorka podría pretender poseer conjuntos de datos robados para extorsionar a las víctimas, aumentar su reputación y competir con otros afiliados. A principios de febrero, Babuk 2 también anunció la filtración de un constructor de LockBit v4. Esto fue un ardid para infectar sistemas con malware, promoviendo su propia agenda.
FunkSec y Colaboradores: Unidos por el Hacktivismo
¿Qué permite que diferentes grupos como Kosmos, FSociety y, potencialmente, Babuuk2 se conecten con FunkSec? El hacktivismo. Ghost Algeria fue un actor de amenazas con raíces hacktivistas, lo que coincide con las campañas pasadas de Bjorka.
Trabajar hacia un objetivo común, la interrupción de operaciones mediante la exposición o el cifrado de datos, permite que los grupos de ransomware con menos recursos formen alianzas y ganen una mayor reputación. También crea una red más amplia para mercados y países objetivo.
Si bien el hacktivismo puede impulsar los programas de afiliación y los procesos de reclutamiento, también puede presentar mayores riesgos. Si FunkSec forma asociaciones y surgen conflictos entre los colaboradores como resultado de cambios económicos o sentimientos opuestos hacia grupos geopolíticos, existe un mayor riesgo de deslealtad, competencia interna o la terminación de las asociaciones.
FunkSec – Victimología Actual y Consideraciones Hasta la fecha, varios países han sido víctimas de los ataques de FunkSec. Si bien las reglas de compromiso de FunkSec para las regiones que atacan son desconocidas, una inclinación hacia un esfuerzo colaborativo pro-China y pro-Rusia podría indicar que organizaciones con sede en Taiwán, Filipinas y Malasia también están en riesgo.
Tácticas, Técnicas y Procedimientos de FunkSec
Ejecución
El actor de amenazas ejecuta el ransomware FunkSec aprovechando las API nativas o un script de PowerShell.
Persistencia
La persistencia se establece secuestrando el flujo de ejecución de un programa.
Escalamiento de Privilegios
El escalamiento de privilegios ocurre a través de la inyección de procesos, donde un proceso malicioso se incrusta en un proceso existente.
Evasión de Defensa
El ransomware FunkSec tiene capacidades de evasión de defensa, incluidas la desactivación o modificación de herramientas, el sistema o firewall, la evasión basada en el tiempo, la eliminación de archivos, la modificación del registro y la evasión de depuradores.
Evasión de Defensa Adicional
Otras características de evasión de defensa incluyen la modificación de permisos de archivos y directorios de Windows y la alteración de los atributos de archivos NTFS. También utilizan «timestomping», una técnica anti-forense común que se usa para cambiar las marcas de tiempo de los archivos.
Descubrimiento de conexiones de red del sistema, descubrimiento de software de seguridad, descubrimiento de recursos compartidos de red, descubrimiento de ventanas de aplicaciones, consulta del registro.
Impacto El ransomware FunkSec cifra los archivos ubicados en C:\ en el sistema objetivo y elimina las iteraciones iniciales de archivos, agregando la extensión. funksec a todos los archivos afectados. El ransomware también es capaz de inhibir la recuperación del sistema, detener servicios y desfigurar sitios afectados. Se sabe que el actor de amenazas cambia el perfil o los fondos de los sitios, reemplazándolos con un logotipo de FunkSec y un aviso para informar a la víctima del ataque.
Extractos de una nota de ransomware de FunkSec incluyen ¿Qué sucedió?, Detalles del Rescate, Cómo Comprar Bitcoin, Quiénes somos y Sitios web para visitar.
En ¿Qué sucedió? se informa a la víctima que ha perdido sus datos a causa del ransomware FunkSec y que no puede restaurarlos sin un descifrador. La víctima recibe la dirección de la billetera de Bitcoin del destinatario y se le recomienda contactar a FunkSec después de acceder a un canal a través de una ID de sesión única para comprar su descifrador. El descifrador actual de FunkSec cuesta 0,01 BTC, que son aproximadamente 105.700 dólares.
Recomendaciones
Existen estrategias de múltiples capas que una organización puede implementar para ayudar a protegerse contra un ataque de ransomware. Una organización puede incorporar las mejores prácticas en su programa de seguridad para abordar las brechas en las medidas de seguridad de Prevención , Protección , Detección y Respuesta . Las recomendaciones incluidas a continuación son fundamentales para una organización que busca mitigar y minimizar el impacto de las amenazas de ransomware.
Establezca prácticas de recuperación y resiliencia de datos: programe copias de seguridad frecuentes ; hacerlo es importante ya que garantiza que los datos y sistemas críticos se puedan restaurar si se produce una vulneración. Se recomienda que las copias de seguridad se almacenen en una ubicación fuera de línea o en un entorno de nube que se mantenga separado de la red principal. Además, es esencial asegurarse de que las copias de seguridad se prueben periódicamente para verificar que no haya problemas que afecten la integridad de los datos.
Implementar programas de concienciación y capacitación en materia de seguridad: establecer programas de capacitación periódica sobre concienciación en materia de ciberseguridad que se centren en identificar y denunciar casos de phishing e ingeniería social. Enseñar a los empleados a reconocer correos electrónicos, enlaces y archivos adjuntos sospechosos que puedan utilizarse para enviar cargas maliciosas. Implemente soluciones de seguridad para el correo electrónico : utilice soluciones de filtrado de correo electrónico para bloquear correos electrónicos, archivos adjuntos y vínculos maliciosos. Agregue más protección habilitando el sandbox de archivos adjuntos; esto permite que se ejecute un análisis en tiempo real, identificando de manera proactiva el ransomware contenido en los archivos adjuntos antes de que estos se entreguen a un usuario. Deshabilite las macros en
los documentos de Microsoft Office de manera predeterminada para eliminar las oportunidades de que un atacante use macros para entregar cargas útiles de ransomware.
Realice la gestión de parches: aplique parches e implemente actualizaciones periódicamente en todo el software, los sistemas operativos y las aplicaciones. Asegúrese de que las actualizaciones críticas se apliquen con prontitud, especialmente en sistemas de acceso remoto vulnerables: VPN, RDP y firewalls. Implemente soluciones de detección y respuesta en endpoints : implemente soluciones avanzadas de protección de endpoints (EDR) para detectar y bloquear ransomware. Utilice tecnologías EDR que aprovechen las detecciones basadas en el comportamiento y la heurística para garantizar que los vectores de infección iniciales se detecten con precisión y se escalen para su investigación. Habilite la detección de amenazas en tiempo real y las respuestas automatizadas para permitir acciones que resulten en el aislamiento de dispositivos comprometidos o el bloqueo de procesos maliciosos.
Ejecute un plan de respuesta a incidentes que admita una respuesta rápida: mantenga un proceso de respuesta a incidentes maduro para respaldar acciones de respuesta rápida. La respuesta rápida es una parte vital de la mitigación del ransomware y no se puede perder el tiempo. Asegúrese de que el equipo de seguridad cuente con el personal, los procesos y las tecnologías necesarios para investigar y responder adecuadamente a un incidente, por ejemplo, bloqueando direcciones IP, deteniendo procesos o aislando hosts para cortar el acceso de un atacante a datos y recursos críticos para evitar una mayor explotación. Aproveche la inteligencia avanzada sobre amenazas con IntelliZone. IntelliZone es una solución que consolida todos los datos que hemos recopilado sobre amenazas cibernéticas y los actores de amenazas asociados en un único panel para analistas de seguridad, incluido el acceso al servicio de análisis de malware de última generación de Bitdefender. Si ya tiene una cuenta de IntelliZone, puede encontrar detalles adicionales sobre FunkSec en los siguientes identificadores de amenazas: BDm5hduttq , BD86b77tr7 , BDi06ii0lz , BDn71lopj2 , BD71rckrrz , BDwxfsig8j .