Ερευνητές ασφαλείας της Check Point Research ανέλυσαν ένα νέο ransomware με το όνομα FunkSec, το οποίο εμφανίστηκε στα τέλη του 2024, χρησιμοποιεί τεχνητή νοημοσύνη (AI) για να ενισχύσει τις δυνατότητές του και έχει στοχεύσει περισσότερα από 85 θύματα μέχρι σήμερα.
“Η ομάδα χρησιμοποιεί τακτικές διπλού εκβιασμού, συνδυάζοντας κλοπή δεδομένων με κρυπτογράφηση για να πιέσει τα θύματα να πληρώσουν λύτρα“, ανέφερε η Check Point Research σε μια νέα έκθεση. “Η συμμορία FunkSec απαίτησε ασυνήθιστα χαμηλά ποσά ως λύτρα, μερικές φορές μόλις 10.000 δολάρια, και πούλησε κλεμμένα δεδομένα σε τρίτους σε μειωμένες τιμές“.
Η ομάδα FunkSec δημιούργησε ένα site διαρροής δεδομένων των θυμάτων τον Δεκέμβριο του 2024. Διαθέτει, επίσης, ένα custom εργαλείο για τη διεξαγωγή distributed denial-of-service (DDoS).
Δείτε επίσης: Επιθέσεις Cleo: Η ransomware συμμορία Clop εκβιάζει 66 εταιρείες
Νέα εικόνα: Πώς ο Κρόνος κρύφτηκε πίσω από το φεγγάρι!
Βόρεια Κορέα: Κλάπηκαν crypto αξίας $ 659 εκατ. το 2024
Το TikTok ετοιμάζεται για κλείσιμο στις ΗΠΑ την Κυριακή;
Η πλειοψηφία των θυμάτων εντοπίζεται στις ΗΠΑ, την Ινδία, την Ιταλία, τη Βραζιλία, το Ισραήλ, την Ισπανία και τη Μογγολία. Οι ερευνητές πιστεύουν ότι οι διαρροές δεδομένων μπορεί να είναι έργο νέων hackers που επιδιώκουν να γίνουν διάσημοι ανακυκλώνοντας πληροφορίες που είχαν διαρρεύσει προηγουμένως από άλλες ομάδες.
Έχει διαπιστωθεί ότι ορισμένα μέλη της ομάδας εμπλέκονται σε δραστηριότητες hacktivist, δυσκολεύοντας το διαχωρισμό μεταξύ hacktivism και εγκλήματος στον κυβερνοχώρο.
Οι hackers ισχυρίζονται, επίσης, ότι στοχεύουν την Ινδία και τις ΗΠΑ, ευθυγραμμιζόμενοι με το κίνημα της “Ελεύθερης Παλαιστίνης” και προσπαθούν να συνδεθούν με οντότητες χακτιβιστών που δεν λειτουργούν πλέον, όπως οι Ghost Algeria και οι Cyb3r Fl00d.
Μερικοί hackers που έχουν συνδεθεί με το ransomware FunkSec, είναι:
- Ο Scorpion (γνωστός και ως DesertStorm), ένας ύποπτος με έδρα την Αλγερία. Έχει προωθήσει την ομάδα σε underground forums όπως το Breached Forum
- Ο El_farado, ο οποίος διαφημίζει το FunkSec μετά το ban του DesertStorm από το Breached Forum
- O XTN, ένας πιθανός συνεργάτης που εμπλέκεται σε μια άγνωστη ακόμη υπηρεσία “ταξινόμησης δεδομένων”
- O Blako, ο οποίος είχε γίνει tag από τον DesertStorm μαζί με τον El_farado
- Ο Bjorka, ένας γνωστός Ινδονήσιος hacktivist του οποίου το ψευδώνυμο έχει χρησιμοποιηθεί για την ανάληψη της ευθύνης σχετικά με διαρροές δεδομένων που αποδίδονται στο FunkSec
Δείτε επίσης: Ρουμάνος φυλακίζεται για τη συμμετοχή του στο ransomware NetWalker
Οι hackers πίσω από το FunkSec ransomware μπορεί να ασχολούνται όντως με δραστηριότητες hacktivist, αν λάβουμε υπόψη και την παρουσία εργαλείων για επιθέσεις DDoS, για remote desktop management (JQRAXY_HVNC) και password generation (funkgenerate).
“Η ανάπτυξη των εργαλείων της ομάδας, συμπεριλαμβανομένου του encryptor, πιθανώς υποβοηθήθηκε από AI, κάτι που μπορεί να συνέβαλε στην ταχεία δράση παρά την προφανή έλλειψη τεχνικής εξειδίκευσης των δημιουργών“, επεσήμανε η Check Point.
Η τελευταία έκδοση του ransomware, που ονομάζεται FunkSec V1.5, είναι γραμμένη σε Rust. Μια εξέταση παλαιότερων εκδόσεων του κακόβουλου λογισμικού υποδηλώνει ότι οι επιτιθέμενοι προέρχονται από την Αλγερία.
Το ransomware binary έχει ρυθμιστεί ώστε να ενεργοποιείται αναδρομικά σε όλους τους καταλόγους και να κρυπτογραφεί τα στοχευμένα αρχεία. Πρώτα, όμως, φροντίζει για την απενεργοποίηση των ελέγχων ασφαλείας, τη διαγραφή αντιγράφων ασφαλείας και τον τερματισμό κάποιων διεργασιών και υπηρεσιών.
“Το 2024 ήταν μια πολύ επιτυχημένη χρονιά για τις ομάδες ransomware, ενώ παράλληλα, οι παγκόσμιες συγκρούσεις τροφοδότησαν τη δραστηριότητα διαφορετικών ομάδων hacktivist“, δήλωσε ο Sergey Shykevich, στέλεχος της Check Point Research.
“Η FunkSec, μια νέα ομάδα που αναδείχθηκε ως η πιο ενεργή ομάδα ransomware τον Δεκέμβριο, θολώνει τα όρια μεταξύ του hacktivism και του εγκλήματος στον κυβερνοχώρο. Καθοδηγούμενη τόσο από πολιτικές ατζέντες όσο και από οικονομικά κίνητρα, η FunkSec αξιοποιεί την τεχνητή νοημοσύνη και χρησιμοποιεί παλιές διαρροές δεδομένων για να δημιουργήσει ένα νέο ransomware brand. Ωστόσο, η πραγματική επιτυχία των δραστηριοτήτων της παραμένει εξαιρετικά αμφισβητήσιμη“.
Δείτε επίσης: Η Play Ransomware ισχυρίζεται κλοπή δεδομένων από την Krispy Kreme
Προστασία από ransomware
- Εφαρμόστε έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) για όλους τους λογαριασμούς χρηστών
- Ενεργοποιήστε firewall σε όλες τις συσκευές που είναι συνδεδεμένες στο δίκτυό σας
- Διατηρήστε τα ευαίσθητα δεδομένα κρυπτογραφημένα
- Ενημερώστε όλες τις συσκευές και τα συστήματά σας με τις πιο πρόσφατες ενημερώσεις ασφαλείας
- Διεξάγετε τακτικούς ελέγχους ασφαλείας και penetration testing
- Χρησιμοποιήστε ισχυρούς, μοναδικούς κωδικούς πρόσβασης και αλλάξτε τους τακτικά
- Περιορίστε την πρόσβαση των χρηστών μόνο σε απαραίτητα συστήματα και πληροφορίες
- Εξετάστε το ενδεχόμενο χρήσης λύσεων ασφαλείας email για πρόσθετη προστασία από επιθέσεις phishing
- Έχετε ένα σχέδιο ανάκαμψης για γρήγορη αποκατάσταση των συστημάτων σε περίπτωση επίθεσης
- Δημιουργήστε τακτικά αντίγραφα ασφαλείας των δεδομένων σας
- Μείνετε ενημερωμένοι για τις τελευταίες τάσεις και τακτικές ransomware που χρησιμοποιούν οι εισβολείς
Πηγή: thehackernews.com