Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Ransomware Ransomware FunkSec

Ransomware FunkSec

Por Mezo en Ransomware
Traducir a:

Investigadores de ciberseguridad descubrieron recientemente FunkSec, una familia de ransomware asistida por IA que surgió a finales de 2024. A pesar de ser relativamente nuevo, el grupo ya ha afectado a más de 85 víctimas en varios países. Sus operaciones combinan el robo de datos con el cifrado en un esquema de doble extorsión, pero lo que los distingue son sus exigencias de rescate inusualmente bajas, a veces de tan solo 10 000 dólares. En lugar de depender únicamente del pago de rescates, FunkSec también vende datos robados a precios reducidos.

Expansión de operaciones a través de un centro central

En diciembre de 2024, FunkSec lanzó su propio sitio de filtración de datos (DLS), centralizando todas sus actividades. La plataforma aloja anuncios de filtraciones, una herramienta personalizada de denegación de servicio distribuido (DDoS) y la oferta de ransomware a medida del grupo como parte de un modelo de ransomware como servicio (RaaS). Esta infraestructura pone de manifiesto los esfuerzos de FunkSec por generar credibilidad en el mundo clandestino de la ciberdelincuencia.

Alcance global, actores novatos

Las víctimas se encuentran principalmente en EE. UU., India, Italia, Brasil, Israel, España y Mongolia. A pesar de su rápida expansión, los análisis sugieren que FunkSec podría ser obra de operadores relativamente inexpertos. El grupo parece reciclar datos de filtraciones hacktivistas antiguas para intentar mejorar su reputación.

Curiosamente, FunkSec también funciona como un servicio de intermediación de datos, ofreciendo información robada a compradores interesados por entre 1000 y 5000 dólares. Esta doble función difumina aún más la línea entre el ciberdelito y el hacktivismo.

Lazos políticos y vínculos hacktivistas

El grupo ha intentado alinearse con el movimiento "Palestina Libre", haciendo referencia a colectivos hacktivistas ya desaparecidos como Ghost Argelia y Cyb3r Fl00d. Algunos miembros de FunkSec también muestran tendencias hacktivistas directas, lo que refuerza la convergencia actual entre el activismo político, la ciberdelincuencia organizada y las operaciones de tipo Estado-nación.

Cifras clave detrás de FunkSec

Los investigadores han identificado a varias personas destacadas vinculadas a FunkSec:

  • Scorpion (también conocido como DesertStorm): un actor radicado en Argelia que promueve al grupo en foros clandestinos como Breached Forum.
  • El_farado – Surgió como promotor principal luego de que DesertStorm fuera baneado del foro Breached.
  • XTN – Se cree que administra un servicio de “clasificación de datos” desconocido.
  • Blako – Frecuentemente mencionado junto con El_farado por DesertStorm.
  • Bjorka – Un hacktivista indonesio cuyo alias ha sido vinculado a las filtraciones de FunkSec en DarkForums, ya sea como colaborador o como un intento de suplantación de identidad.

Herramientas y técnicas impulsadas por IA

El conjunto de herramientas de FunkSec va más allá del ransomware, incluyendo utilidades para la gestión de escritorios remotos (JQRAXY_HVNC), la generación de contraseñas (funkgenerate) y ataques DDoS. Los investigadores creen que el desarrollo de su cifrador de ransomware y las herramientas relacionadas se basó en inteligencia artificial, lo que permitió una rápida iteración a pesar de la limitada experiencia técnica.

La última versión, FunkSec V1.5, está escrita en Rust. Las versiones anteriores, subidas principalmente desde Argelia, contenían referencias a FunkLocker y Ghost Argelia, lo que sugería un vínculo argelino con el desarrollador principal.

Comportamiento técnico del malware

Cuando se ejecuta, el ransomware FunkSec está configurado para:

  • Escalar privilegios.
  • Desactivar los controles de seguridad.
  • Eliminar copias de seguridad de instantáneas.
  • Terminar una lista codificada de procesos y servicios.
  • Cifrar archivos de forma recursiva en todos los directorios.

Esta cadena operativa subraya su capacidad para alterar los sistemas a pesar de su experiencia como novatos.

Una línea borrosa entre ideología y lucro

El año 2024 marcó un crecimiento significativo de las operaciones de ransomware a nivel mundial, con conflictos geopolíticos que impulsaron aún más la actividad hacktivista. FunkSec personifica esta preocupante combinación de retórica política y motivación financiera, consolidándose como uno de los grupos de ransomware más activos en diciembre de 2024. Si bien su dependencia de la IA y las filtraciones recicladas les ha ganado atención, el éxito a largo plazo de su campaña sigue siendo incierto.

Artículos Relacionados

Tendencias

Mas Visto

Cargando...