S'inscrire

Cybersécurité - 10/01/2025

FunkSec, un ransomware piloté par l’IA, cible 85 victimes en utilisant des tactiques de double extorsion

Hacker utilisant un outil de cybersécurité

Des chercheurs en cybersécurité ont mis en lumière une famille naissante de ransomwares assistés par intelligence artificielle (IA) appelée FunkSec , apparue fin 2024 et qui a fait plus de 85 victimes à ce jour.

« Le groupe utilise des tactiques de double extorsion, combinant vol de données et chiffrement pour faire pression sur les victimes et les amener à payer des rançons », a déclaré Check Point Research dans un nouveau rapport partagé avec The Hacker News. « FunkSec a notamment exigé des rançons inhabituellement basses, parfois aussi peu que 10 000 dollars, et a vendu les données volées à des tiers à des prix réduits. »

FunkSec a lancé son site de fuite de données (DLS) en décembre 2024 pour « centraliser » ses opérations de ransomware, en mettant en avant les annonces de violation, un outil personnalisé pour mener des attaques par déni de service distribué (DDoS) et un ransomware sur mesure dans le cadre d’un modèle de ransomware en tant que service (RaaS).

La majorité des victimes se trouvent aux États-Unis, en Inde, en Italie, au Brésil, en Israël, en Espagne et en Mongolie. L’analyse de l’activité du groupe par Check Point a révélé qu’il s’agissait probablement de l’œuvre d’acteurs novices qui cherchent à attirer la notoriété en recyclant les informations divulguées lors de fuites précédentes liées aux hackers.

Il a été déterminé que certains membres du groupe RaaS se sont livrés à des activités hacktivistes, soulignant un brouillage continu des frontières entre hacktivisme et cybercriminalité, tout comme les acteurs étatiques et les cybercriminels organisés présentent de plus en plus une « convergence troublante de tactiques, de techniques et même d’objectifs ».

Ils prétendent également cibler l’Inde et les États-Unis, s’alignant sur le mouvement « Palestine libre » et tentant de s’associer à des entités hacktivistes aujourd’hui disparues comme Ghost Algérie et Cyb3r Fl00d. Certains des acteurs importants associés à FunkSec sont énumérés ci-dessous :

  • Un acteur présumé basé en Algérie nommé Scorpion (alias DesertStorm) qui a promu le groupe sur des forums underground tels que Breached Forum
  • El_farado, qui est devenu l’un des principaux acteurs de la publicité pour FunkSec après le bannissement de DesertStorm du Breached Forum
  • XTN, un associé probable impliqué dans un service de « tri de données » encore inconnu
  • Blako, qui a été tagué par DesertStorm avec El_farado
  • Bjorka, un hacktiviste indonésien connu dont le pseudonyme a été utilisé pour revendiquer des fuites attribuées à FunkSec sur DarkForums, pointant soit vers une affiliation vague, soit vers leurs tentatives d’usurpation de l’identité de FunkSec

La possibilité que le groupe se livre également à des activités hacktivistes est démontrée par la présence d’outils d’attaque DDoS, ainsi que par ceux liés à la gestion du bureau à distance (JQRAXY_HVNC) et à la génération de mots de passe (funkgenerate).

« Le développement des outils du groupe, y compris le crypteur, a probablement été assisté par l’IA, ce qui a peut-être contribué à leur itération rapide malgré le manque apparent d’expertise technique de l’auteur », a souligné Check Point.

La dernière version du ransomware, nommée FunkSec V1.5, est écrite en Rust, et l’artefact a été téléchargé sur la plateforme VirusTotal depuis l’Algérie. Un examen des versions plus anciennes du malware suggère que l’acteur de la menace est également originaire d’Algérie en raison de références telles que FunkLocker et Ghost Algérie.

Le binaire du ransomware est configuré pour parcourir de manière récursive tous les répertoires et crypter les fichiers ciblés, mais pas avant d’avoir élevé les privilèges et pris des mesures pour désactiver les contrôles de sécurité, supprimer les sauvegardes de copie fantôme et mettre fin à une liste codée en dur de processus et de services.

« 2024 a été une année très fructueuse pour les groupes de ransomware, alors qu’en parallèle, les conflits mondiaux ont également alimenté l’activité de différents groupes hacktivistes », a déclaré Sergey Shykevich, responsable du groupe de renseignement sur les menaces chez Check Point Research, dans un communiqué.

« FunkSec, un nouveau groupe qui est apparu récemment comme le groupe de ransomware le plus actif en décembre, brouille les frontières entre hacktivisme et cybercriminalité. Poussé à la fois par des agendas politiques et des incitations financières, FunkSec exploite l’IA et réutilise d’anciennes fuites de données pour établir une nouvelle marque de ransomware, même si le succès réel de ses activités reste très discutable. »

Cette évolution intervient alors que Forescout a détaillé une attaque de Hunters International qui a probablement utilisé Oracle WebLogic Server comme point d’entrée initial pour déposer un shell Web China Chopper, qui a ensuite été utilisé pour effectuer une série d’activités post-exploitation qui ont finalement conduit au déploiement du ransomware.

« Après avoir obtenu l’accès, les attaquants ont mené une reconnaissance et des déplacements latéraux pour cartographier le réseau et augmenter leurs privilèges », a déclaré Forescout . « Les attaquants ont utilisé divers outils administratifs et de red teaming courants pour les déplacements latéraux. »

Sujets récents