Siber güvenlik araştırmacıları, yeni ortaya çıkan yapay zeka (AI) destekli fidye yazılımı ailesine ışık tuttu. FunkSec 2024’ün sonlarında ortaya çıkan ve bugüne kadar 85’ten fazla kurbanın olduğu iddia edildi.
Check Point Research, The Hacker News ile paylaştığı yeni bir raporda, “Grup, veri hırsızlığını şifrelemeyle birleştirerek kurbanlara fidye ödemeye baskı yapmak için çifte şantaj taktiği kullanıyor.” dedi. “FunkSec’in bazen 10.000 dolar kadar düşük fidye talep etmesi ve çalınan verileri indirimli fiyatlarla üçüncü taraflara satması dikkat çekicidir.”
FunkSec, fidye yazılımı operasyonlarını “merkezileştirmek” için veri sızıntısı sitesini (DLS) Aralık 2024’te başlattı; ihlal duyurularını, dağıtılmış hizmet reddi (DDoS) saldırıları gerçekleştirmek için özel bir aracı ve fidye yazılımının parçası olarak özel bir fidye yazılımını öne çıkardı. hizmet olarak (RaaS) modeli.
Kurbanların çoğunluğu ABD, Hindistan, İtalya, Brezilya, İsrail, İspanya ve Moğolistan’da bulunuyor. Check Point’in grubun faaliyetlerine ilişkin analizi, bunun daha önceki hacktivistlerle ilgili sızıntılardan sızdırılan bilgileri geri dönüştürerek kötü şöhret kazanmaya çalışan acemi aktörlerin işi olabileceğini ortaya çıkardı.
RaaS grubunun bazı üyelerinin hacktivist faaliyetlerde bulunduğu, hacktivizm ile siber suç arasındaki sınırların giderek bulanıklaştığının altını çizdiği, tıpkı ulus devlet aktörlerinin ve organize siber suçluların giderek “taktikler, teknikler ve hatta siber suçlar arasında rahatsız edici bir yakınlaşma” sergilediği belirlendi. hedefler.”
Ayrıca Hindistan ve ABD’yi hedef aldıklarını, kendilerini “Özgür Filistin” hareketiyle bir araya getirdiklerini ve Ghost Cezayir ve Cyb3r Fl00d gibi artık yok olan hacktivist kuruluşlarla ilişki kurmaya çalıştıklarını iddia ediyorlar. FunkSec ile ilişkili öne çıkan aktörlerden bazıları aşağıda listelenmiştir:
- Grubun Breached Forum gibi yer altı forumlarında tanıtımını yapan Scorpion (diğer adıyla DesertStorm) adlı Cezayir merkezli şüpheli bir aktör
- DesertStorm’un Breached Forum’dan yasaklanmasının ardından FunkSec’in reklamını yapan ana figür olarak ortaya çıkan El_farado
- Henüz bilinmeyen bir “veri sıralama” hizmetine dahil olan muhtemel bir ortak olan XTN
- DesertStorm tarafından El_farado ile birlikte etiketlenen Blako
- Takma adı DarkForums’ta FunkSec’e atfedilen sızıntıları iddia etmek için kullanılan tanınmış bir Endonezyalı hacktivist olan Bjorka, ya gevşek bir bağlantıya ya da FunkSec’i taklit etme girişimlerine işaret ediyor
Grubun hacktivist faaliyetlerle de uğraşıyor olabileceği ihtimali, DDoS saldırı araçlarının yanı sıra uzak masaüstü yönetimi (JQRAXY_HVNC) ve şifre oluşturma (funkgenerate) ile ilgili araçların varlığıyla kanıtlanıyor.
Check Point, “Şifreleyici de dahil olmak üzere grubun araçlarının geliştirilmesi muhtemelen yapay zeka destekliydi ve bu da yazarın belirgin teknik uzmanlık eksikliğine rağmen hızlı yinelemelerine katkıda bulunmuş olabilir” dedi.
Fidye yazılımının FunkSec V1.5 adlı en son sürümü Rust’ta yazılmıştır ve yapı Cezayir’den VirusTotal platformuna yüklenmiştir. Kötü amaçlı yazılımın eski sürümleri incelendiğinde, FunkLocker ve Ghost Cezayir gibi referanslar nedeniyle tehdit aktörünün de Cezayir’den olduğu görülüyor.
Fidye yazılımı ikili dosyası, tüm dizinler üzerinde yinelemeli olarak yinelenecek ve hedeflenen dosyaları şifreleyecek şekilde yapılandırılmıştır; ancak bu, ayrıcalıkları yükseltmeden ve güvenlik kontrollerini devre dışı bırakmak, gölge kopya yedeklemelerini silmek ve sabit kodlanmış işlem ve hizmetler listesini sonlandırmak için adımlar atmadan önce gerçekleşmez.
Check Point Research tehdit istihbaratı grup yöneticisi Sergey Shykevich yaptığı açıklamada, “2024 fidye yazılımı grupları için çok başarılı bir yıldı, buna paralel olarak küresel çatışmalar da farklı hacktivist grupların faaliyetlerini alevlendirdi.” dedi.
“Son zamanlarda Aralık ayının en aktif fidye yazılımı grubu olarak ortaya çıkan yeni bir grup olan FunkSec, hacktivizm ile siber suç arasındaki çizgiyi bulanıklaştırıyor. Hem siyasi gündemler hem de finansal teşviklerle hareket eden FunkSec, yapay zekadan yararlanıyor ve yeni bir fidye yazılımı markası oluşturmak için eski veri sızıntılarını yeniden kullanıyor, ancak faaliyetlerinin gerçek başarısı oldukça şüpheli olmaya devam ediyor.”
Bu gelişme, Forescout’un, China Chopper web kabuğunu düşürmek için ilk giriş noktası olarak muhtemelen Oracle WebLogic Server’ı kullanan ve daha sonra bu yazılımın konuşlandırılmasına yol açan bir dizi kullanım sonrası aktiviteyi gerçekleştirmek için kullanıldığı Hunters International saldırısını ayrıntılarıyla açıklamasıyla ortaya çıktı. fidye yazılımı.
Forescout, “Erişim sağladıktan sonra saldırganlar, ağın haritasını çıkarmak ve ayrıcalıkları artırmak için keşif ve yanal hareket gerçekleştirdi” dedi. “Saldırganlar, yanal hareket için çeşitli ortak idari ve kırmızı ekip oluşturma araçlarını kullandı.”