Ransomware FunkSec

Par Mezo en Ransomware

Se traduisent par :

Des chercheurs en cybersécurité ont récemment découvert FunkSec, une famille de rançongiciels assistée par l'IA apparue fin 2024. Malgré sa relative nouveauté, le groupe a déjà fait plus de 85 victimes dans plusieurs pays. Ses opérations combinent vol de données et chiffrement dans un système de double extorsion, mais se distinguent par leurs demandes de rançon exceptionnellement faibles, parfois à peine 10 000 dollars. Au lieu de se contenter du paiement des rançons, FunkSec vend également les données volées à prix réduits.

Table des matières

Développer les opérations grâce à un hub central

En décembre 2024, FunkSec a lancé son propre site de fuite de données (DLS), centralisant toutes ses activités. La plateforme héberge les annonces de failles de sécurité, un outil personnalisé de déni de service distribué (DDoS) et l'offre de rançongiciels sur mesure du groupe, dans le cadre d'un modèle de rançongiciel en tant que service (RaaS). Cette infrastructure illustre les efforts de FunkSec pour renforcer sa crédibilité dans le monde cybercriminel.

Portée mondiale, acteurs novices

Les victimes se trouvent principalement aux États-Unis, en Inde, en Italie, au Brésil, en Israël, en Espagne et en Mongolie. Malgré son expansion rapide, les analyses suggèrent que FunkSec pourrait être l'œuvre d'opérateurs relativement inexpérimentés. Le groupe semble recycler des données issues d'anciennes fuites d'hacktivistes pour tenter de redorer son blason.

Il est intéressant de noter que FunkSec fait également office de service de courtage de données, proposant des informations volées aux acheteurs intéressés pour 1 000 à 5 000 dollars. Ce double rôle brouille encore davantage la frontière entre cybercriminalité et hacktivisme.

Liens politiques et liens hacktivistes

Le groupe a tenté de s'aligner sur le mouvement « Palestine libre » tout en faisant référence à des collectifs hacktivistes aujourd'hui disparus tels que Ghost Algeria et Cyb3r Fl00d. Certains membres de FunkSec affichent également des tendances hacktivistes directes, renforçant la convergence actuelle entre activisme politique, cybercriminalité organisée et opérations de type état-nation.

Les chiffres clés derrière FunkSec

Les chercheurs ont identifié plusieurs personnes importantes liées à FunkSec :

Scorpion (alias DesertStorm) – Un acteur basé en Algérie qui fait la promotion du groupe sur des forums underground comme Breached Forum.
El_farado – Est devenu l'un des principaux promoteurs après que DesertStorm ait été banni du forum Breached.
XTN – Considéré comme gérant un service de « tri de données » inconnu.
Blako – Fréquemment mentionné aux côtés de El_farado par DesertStorm.
Bjorka – Un hacktiviste indonésien dont le pseudonyme a été lié aux fuites de FunkSec sur DarkForums, soit en tant que collaborateur, soit en tant que tentative d'usurpation d'identité.

Outils et techniques basés sur l’IA

La boîte à outils de FunkSec s'étend au-delà des rançongiciels, incluant des utilitaires de gestion de bureau à distance (JQRAXY_HVNC), de génération de mots de passe (funkgenerate) et d'attaques DDoS. Les chercheurs estiment que le développement de leur crypteur de rançongiciels et des outils associés a été facilité par l'IA, permettant une itération rapide malgré une expertise technique limitée.

La dernière version, FunkSec V1.5, est écrite en Rust. Les versions précédentes, principalement importées d'Algérie, contenaient des références à FunkLocker et Ghost Algeria, suggérant un lien algérien avec le développeur principal.

Comportement technique du malware

Une fois exécuté, le ransomware FunkSec est configuré pour :

Augmenter les privilèges.
Désactiver les contrôles de sécurité.
Supprimer les sauvegardes de clichés instantanés.
Terminer une liste codée en dur de processus et de services.
Chiffrer de manière récursive les fichiers dans tous les répertoires.

Cette chaîne opérationnelle souligne leur capacité à perturber les systèmes malgré leur expérience de novice.

Une frontière floue entre idéologie et profit

L'année 2024 a marqué une croissance significative des opérations de rançongiciels à l'échelle mondiale, les conflits géopolitiques alimentant encore davantage l'activité des hackers. FunkSec incarne ce mélange troublant de discours politique et de motivation financière, s'imposant comme l'un des groupes de rançongiciels les plus actifs en décembre 2024. Si leur recours à l'IA et aux fuites recyclées les a attirés, le succès à long terme de leur campagne reste incertain.

Le dépôt de bilan de Digital River GmbH, le processeur de paiement d'EnigmaSoft, n'a pas d'impact sur la protection anti-malware des clients de SpyHunter

Rechercher

Changer de région

Ransomware FunkSec

Développer les opérations grâce à un hub central

Portée mondiale, acteurs novices

Liens politiques et liens hacktivistes

Les chiffres clés derrière FunkSec

Outils et techniques basés sur l’IA

Comportement technique du malware

Une frontière floue entre idéologie et profit

Soumettre un Commentaire

Posts relatifs

L'essor des malwares pilotés par l'IA FunkSec menace...

Rançongiciel FunkLocker (FunkSec)

Tendance

Marmose.app

Germantopsuper.pw

Logiciel malveillant mobile SparkKitty

Le plus regardé

Comment corriger l'erreur « Le pilote d'imprimante...

Discord affiche un écran noir lors du partage d'écran

Discord est bloqué sur un écran gris