Злоумышленники используют один-единственный файл на Rust для полномасштабного шифрования и кражи данных.
Эксперты Kaspersky GReAT (Глобального центра исследования и анализа угроз «Лаборатории Касперского») изучили активность кибергруппы FunkSec, которая появилась в конце 2024 года.
Её характерные особенности: применение инструментов на основе ИИ, в том числе при разработке программы-шифровальщика, многофункциональность используемого зловреда, высокая степень адаптивности и массовость кибератак. Среди целей группы — организации из госсектора, а также сфер ИТ, финансов и образования в Европе и Азии.
Обширная функциональность. Программу-вымогатель FunkSec отличает сложная техническая архитектура и использование ИИ. Разработчики зловреда включили возможность полномасштабного шифрования и кражи данных в один исполняемый файл, написанный на Rust. Он способен отключать более 50 процессов на устройствах жертв и оснащён функциями самоочистки, что затрудняет анализ инцидентов. FunkSec использует продвинутые методы, чтобы избежать обнаружения и усложнить работу исследователей.
Не просто вымогатель. FunkSec поставляется не сам по себе: в дополнение к программе-шифровальщику идут и другие инструменты — генератор паролей (для проведения атак методом перебора и распыления) и инструмент для DDoS-атак. Во всех случаях есть явные признаки синтеза кода с использованием больших языковых моделей (LLM).
Код пишет ИИ. Создатели FunkSec активно используют для разработки генеративный ИИ. Похоже, что многие фрагменты кода написаны не вручную, а автоматически. Это подтверждают общие комментарии-заглушки (например, «заглушка для фактической проверки») и технические несоответствия. Так, в одной программе используются команды для разных операционных систем. Вдобавок наличие задекларированных, но не используемых функций отражает, как большие языковые модели объединяют несколько фрагментов кода без обрезки лишних элементов.
«Мы всё чаще видим, что злоумышленники используют генеративный ИИ для создания вредоносных инструментов. Он ускоряет процесс разработки, позволяя атакующим быстрее адаптировать свои тактики, а также снижает порог вхождения в индустрию. Но такой сгенерированный код часто содержит ошибки, так что злоумышленники не могут полностью полагаться на новые технологии в разработке», — комментирует Татьяна Шишкова, ведущий эксперт Kaspersky GReAT.
FunkSec требует необычно маленький выкуп, иногда не более 10 тысяч долларов США. Кроме того, злоумышленники продают украденные данные по невысокой цене. Такой подход позволяет им проводить большое количество кибератак и быстро нарабатывать репутацию в теневом сообществе. Массовость ещё раз указывает на то, что злоумышленники используют искусственный интеллект для оптимизации и масштабирования своих операций.
Продукты «Лаборатории Касперского» детектируют угрозу как HEUR:Trojan-Ransom.Win64.Generic.
Для защиты от кибератак с применением программ-вымогателей эксперты «Лаборатории Касперского» рекомендуют организациям: