13/01/25
Исследователи в области кибербезопасности раскрыли подробности о новой хакерской группировке FunkSec, занимающейся разработкой программного обеспечения для вымогательства на базе искусственного интеллекта. Группа появилась в конце 2024 года и уже насчитывает более 85 жертв, пишет Securitylab.
FunkSec использует тактику двойного вымогательства, совмещая кражу данных с их шифрованием, чтобы оказывать давление на жертв и добиваться выкупов. По данным Check Point, сумма выкупов, запрашиваемая группой, иногда составляла всего $10 000, что весьма немного по меркам вымогателей, а украденные данные продавались сторонним покупателям по сниженным ценам.
В декабре 2024 года FunkSec запустила собственный сайт для утечек данных, который стал централизованной платформой для операций. Помимо объявлений о взломах, на сайте представлены инструменты для проведения DDoS-атак и уникальное программное обеспечение в рамках модели ransomware-as-a-service (RaaS).
Большинство жертв FunkSec находится в США, Индии, Италии, Бразилии, Израиле, Испании и Монголии. Анализ показал, что группа, вероятно, состоит из новичков, стремящихся к известности за счёт переработки данных из утечек, связанных с хактивистами. Некоторые участники группы ранее активно занимались хактивизмом, что подчёркивает размытие границ между хактивизмом и киберпреступностью.
Группа заявляет, что атакует США и Индию, высказывая поддержку движению «Свободная Палестина» и пытаясь ассоциироваться с ныне неактивными хактивистами, такими как Ghost Algeria и Cyb3r Fl00d. Среди ключевых участников FunkSec называются следующие:
- Scorpion (DesertStorm) — предполагаемый участник из Алжира, продвигающий группу на форумах, таких как Breached;
- El_farado — главный представитель группы после блокировки DesertStorm;
- XTN — участник, предоставляющий услуги по «сортировке данных»;
- Blako — упоминается DesertStorm и El_farado;
- Bjorka — известный индонезийский хактивист, чьё имя использовалось для публикации утечек от имени FunkSec.
Участие группы в хактивистской деятельности подтверждается наличием инструментов для DDoS-атак, управления удалёнными рабочими столами (JQRAXY_HVNC) и генерации паролей (funkgenerate).
Разработка инструментов группы, включая шифровальщик, вероятно, велась с использованием искусственного интеллекта. Это позволило быстро совершенствовать их несмотря на отсутствие у разработчиков значительного технического опыта. Последняя версия программы, FunkSec V1.5, написана на языке Rust и была загружена на платформу VirusTotal из Алжира.
Программа шифрует файлы на устройствах жертв, предварительно отключая защитные механизмы, удаляя резервные копии и завершая работу определённых процессов.
Эксперты отмечают, что 2024 год стал успешным для групп, занимающихся вымогательством, а глобальные конфликты способствовали активности хактивистов. FunkSec, совмещая политические цели и финансовую выгоду, использует ИИ и старые утечки для создания собственного бренда, однако реальный успех их деятельности вызывает сомнения.
