Yeni bir fidye yazılımı suşu, dublaj Eğlenceli Saatlergüvenlik savunmalarını devre dışı bırakmak ve sistemleri engellemek için meşru pencereler kamu hizmetlerinin kötüye kullanılmasına güvenirken, gelişimini hızlandırmak için yapay zekadan yararlanıyor.
Funksec olarak bilinen bir gruba atfedilen fidye yazılımı, değişen derecelerde başarı ile kötü amaçlı yazılımları bir araya getirmek için AI kullanan tehdit aktörlerinin artan bir eğilimini vurgular.
Funklocker’ın geliştirilmesi, “AI → Yapıştır snippet’i sor” modelini takip ediyor ve bu da genellikle tutarsız kodla sonuçlanıyor. Fidye yazılımlarının bazı yapıları zar zor işlevsel olmakla birlikte, diğerleri sanal makine kontrolleri gibi daha gelişmiş özellikler içerir.
Bu AI destekli yaklaşım, hızlı yaratılmaya izin verir, ancak daha yerleşik gruplardan kötü amaçlı yazılımlarda görülen istikrarı ve sofistike fedakarlık sağlar. Bu fidye yazılımlarının güvenli bir şekilde analiz edilmesi gerekiyor Sandbox ortamları.
Yürütme üzerine Funklocker, önceden tanımlanmış bir süreç ve hizmet listesini agresif bir şekilde sonlandırır. Gibi standart Windows komut satırı araçlarını kullanır taskkill.exe uygulamaları durdurmak ve sc.exe hizmetleri durdurmak için.
Bu kaba kuvvet yöntemi, var olmayan veya korunan hizmetleri durdurmaya çalışırken genellikle çok sayıda hata oluşturur, ancak sonuçta sakatlık sistem savunmalarını ve uygulamalarını başarır.
Hedeflenen hizmetlerin listesi, Windows Defender ve Windows Güvenlik Duvarı gibi güvenlik araçlarının yanı sıra kurbanın ekranının siyaha gitmesine neden olan Shell Experience Host gibi temel sistem bileşenlerini içerir.
Savunmaları devre dışı bırakmak ve dosyaları şifrelemek
Any.run’a göre kum havuzu analizi Funklocker, Powershell’i güvenlik önlemlerini sistematik olarak sökmek için ağır bir şekilde kötüye kullanıyor.
Windows Defender’da gerçek zamanlı izlemeyi devre dışı bırakmak için bir dizi komut çalıştırır, güvenlik ve uygulama etkinlik günlüklerini kullanarak wevtutilve sınırsız komut dosyası yürütülmesine izin vermek için PowerShell yürütme politikasını atlayın.
Sistem kurtarmayı önlemek için fidye yazılımı, Volume Shadow Service yöneticisi aracını kullanır (vssadmin.exe) tüm gölge hacmi kopyalarını silmek için.
Bu eylem, kurbanın, kurban üzerindeki baskıyı artırmak için fidye yazılımı tarafından kullanılan ortak bir teknik olan sistemlerini yerel yedeklemelerden geri yükleme yeteneğini ortadan kaldırır.
Şifreleme işlemi tamamen yerel olarak gerçekleştirilir, yani Funklocker şifreleme anahtarlarını almak için bir komut ve kontrol (C2) sunucusu ile iletişim kurmaz.
Dosyalar şifrelenir ve eklenir .funksec eklenti. Daha sonra bir fidye notu masaüstüne bırakılır.
Bununla birlikte, kötü amaçlı yazılım genellikle Shell Experience Host Hizmetini sonlandırdığından, mağdurlar tehlikeye atılan sistemi yeniden başlatmadan notu görüntüleyemeyebilir.
Yıkıcı yeteneklerine rağmen, Funklocker zayıf operasyonel güvenlik belirtileri sergiliyor. Araştırmacılar, farklı kurbanlarda bitcoin cüzdan adreslerinin yeniden kullanılmasını gözlemlediler ve analiz, şifreleme anahtarlarının kötü amaçlı yazılımlara sabitlendiğini veya kurbanın makinesinde yerel olarak türetildiğini gösteriyor.
Bu güvenlik açıkları, AVAST Labs’daki güvenlik araştırmacılarının, kurbanlar için bir kurtarma yolu sunan bir kamu şifresini geliştirmesine ve yayınlamasına izin verdi.
2024’ün sonlarında ortaya çıkmasından bu yana, Funksec grubu dünya çapında 120’den fazla organizasyona yönelik saldırılarla bağlantılıdır. Grup, çalınan bilgileri duyurduğu bir veri sızıntısı sitesi tutar.
Hedefler, ABD’de bulunan önemli sayıda kurban ve Hindistan, İspanya ve Moğolistan’da bildirilen olayların yanı sıra hükümet, savunma, teknoloji ve finans dahil olmak üzere çeşitli sektörleri kapsamaktadır.
IOC
| Tip | Gösterge | Tanım |
|---|---|---|
| Dosya Hash (SHA256) | c233aec7917cf34294c19dd60ff79a6e0fac5ed6f0cb57af98013c08201a7a1c |
SHA256 Funklocker Ransomware yürütülebilir. |
| Dosya Hash (SHA256) | e29d95bfb815be80075f0f8bef4fa690abcc461e31a7b3b73106bfcd5cd79033 |
SHA256 Hash, bir fidye not dosyasıyla ilişkili olarak tanımlandı. |
| Dosya uzantısı | .funksec |
Fidye yazılımı tarafından şifrelendikten sonra dosyalara eklenen uzantı. |
| Fidye notu | README-ZasRvdSR44.md– readme.txt |
Fidye notu için kullanılan isimler kurbanın sistemine düştü. Tam ad değişebilir. |
| Tehdit oyuncusu | FunkSec |
Funklocker’ı geliştirmek ve dağıtmaktan sorumlu Hizmet Olarak Fidye Yazılımı (RAAS) Grubu[, , ]. |
| Davranışsal | sc.exe– taskkill.exe– wevtutil.exe– vssadmin.exe |
Hizmetleri durdurmak, uygulamaları sonlandırmak, güvenlik günlüklerini netleştirmek ve ses gölge kopyalarını silmek için meşru Windows komut satırı araçlarını kötüye kullanır. |
Günlük siber güvenlik güncellemeleri için bizi Google News, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
