Ransomware FunkSec impulsionado por IA atinge 85 vítimas com táticas de dupla extorsão

Pesquisadores de cibersegurança revelaram detalhes sobre uma nova família de ransomware assistida por inteligência artificial (IA), chamada FunkSec, que surgiu no final de 2024 e já vitimou mais de 85 organizações.

"O grupo utiliza táticas de dupla extorsão, combinando roubo de dados com criptografia para pressionar as vítimas a pagar o resgate", afirmou a Check Point Research em um relatório. "Notavelmente, o FunkSec exige resgates incomumente baixos, às vezes tão baixos quanto US$ 10.000, além de vender os dados roubados a terceiros por valores reduzidos."

Em dezembro de 2024, o FunkSec lançou seu próprio site de vazamento de dados (Data Leak Site, ou DLS) para centralizar suas operações de ransomware. O site destaca anúncios de violações, uma ferramenta personalizada para realizar ataques de negação de serviço distribuído (DDoS) e um ransomware desenvolvido sob um modelo de ransomware como serviço (RaaS).

A maioria das vítimas está localizada nos EUA, Índia, Itália, Brasil, Israel, Espanha e Mongólia. A análise do grupo pela Check Point sugere que os responsáveis provavelmente são atores novatos, buscando notoriedade ao reutilizar informações vazadas anteriormente em ataques hacktivistas.

Segundo a empresa Halcyon, o FunkSec se destaca por atuar tanto como um grupo de ransomware quanto como um intermediário de dados, vendendo informações roubadas por valores entre US$ 1.000 e US$ 5.000. Alguns membros do grupo RaaS já estiveram envolvidos em atividades hacktivistas, evidenciando uma crescente convergência entre hacktivismo e cibercrime, uma tendência também observada em ataques patrocinados por Estados-nação e grupos criminosos organizados.

O FunkSec também afirma mirar vítimas nos EUA e na Índia, alinhando-se ao movimento "Free Palestine" e tentando se associar a entidades hacktivistas desativadas, como Ghost Algeria e Cyb3r Fl00d. Entre os atores proeminentes relacionados ao FunkSec estão:

• Scorpion (também conhecido como DesertStorm): suposto membro baseado na Argélia, que promove o grupo em fóruns underground, como o Breached Forum.

• El_farado: figura central na publicidade do FunkSec após o banimento de DesertStorm do Breached Forum.

• XTN: associado provável, envolvido em um serviço ainda desconhecido de "classificação de dados".

• Blako: frequentemente mencionado por DesertStorm em conjunto com El_farado.

• Bjorka: conhecido hacktivista indonésio cujo pseudônimo tem sido usado para reivindicar vazamentos atribuídos ao FunkSec, sugerindo uma afiliação informal ou tentativas de imitação.

A presença de ferramentas para ataques DDoS, gerenciamento remoto de desktops (JQRAXY_HVNC) e geração de senhas (funkgenerate) reforça a possibilidade de atividades hacktivistas.

Segundo a Check Point, o desenvolvimento das ferramentas do grupo, incluindo o criptografador, provavelmente contou com assistência de IA, permitindo uma rápida evolução apesar da aparente falta de conhecimento técnico dos autores. A versão mais recente do ransomware, denominada FunkSec V1.5, foi escrita em Rust e carregada na plataforma VirusTotal a partir da Argélia. Referências a termos como FunkLocker e Ghost Algeria em versões anteriores também apontam para uma origem argelina.

O ransomware é configurado para iterar recursivamente por diretórios, criptografando arquivos-alvo após elevar privilégios, desativar controles de segurança, excluir cópias de sombra e encerrar processos e serviços predefinidos.

"2024 foi um ano muito bem-sucedido para grupos de ransomware, enquanto os conflitos globais impulsionaram as atividades de diferentes grupos hacktivistas", destacou Sergey Shykevich, gerente do grupo de inteligência de ameaças da Check Point Research.

"O FunkSec, que emergiu recentemente como o grupo de ransomware mais ativo em dezembro, mistura agendas políticas e incentivos financeiros. Eles utilizam IA e reaproveitam vazamentos antigos para estabelecer uma nova marca de ransomware, embora o real sucesso de suas atividades ainda seja questionável."

Paralelamente, a Forescout revelou que um ataque do grupo Hunters International usou o Oracle WebLogic Server como ponto de entrada inicial para implantar o ransomware. Através do shell web China Chopper, os atacantes realizaram atividades de pós-exploração, mapeamento de rede e escalonamento de privilégios, empregando ferramentas administrativas comuns para movimentação lateral.

Via - THN