FunkSec勒索軟件即服務(wù)（RaaS）組織自2024年底開(kāi)始活躍，該團(tuán)伙在2024年12月公布了85名受害者。

該組織很可能使用了基于AI的系統(tǒng)來(lái)快速開(kāi)發(fā)高級(jí)工具，將黑客行動(dòng)主義和網(wǎng)絡(luò)犯罪結(jié)合在一起。然而，該組織泄露的許多數(shù)據(jù)集都是重復(fù)使用的，這引發(fā)了對(duì)其真實(shí)性的質(zhì)疑。

FunkSec與之前的勒索軟件組織沒(méi)有已知的聯(lián)系，可獲得的詳細(xì)信息有限。

"我們對(duì)該組織活動(dòng)的分析表明，公布的受害者數(shù)量雖然令人印象深刻，但可能掩蓋了實(shí)際受害者和該組織專業(yè)水平的真實(shí)情況。FunkSec的核心操作很可能由經(jīng)驗(yàn)不足的黑客進(jìn)行。此外，由于該組織的主要目標(biāo)似乎是獲得知名度和認(rèn)可，因此很難驗(yàn)證泄露信息的真實(shí)性。"Check Point發(fā)布的報(bào)告稱，"有證據(jù)表明，在某些情況下，泄露的信息是從之前的黑客行動(dòng)主義相關(guān)泄露中回收的，這引發(fā)了對(duì)其真實(shí)性的質(zhì)疑。"

與其他勒索軟件組織不同，F(xiàn)unkSec要求的贖金較低，在某些情況下低至q0,000。該組織以折扣價(jià)將竊取的數(shù)據(jù)出售給第三方。

Check Point的分析顯示，F(xiàn)unkSec勒索軟件正在由一名經(jīng)驗(yàn)不足的作者積極開(kāi)發(fā)，該作者很可能在阿爾及利亞，其變種引用了FunkSec和Ghost Algeria。

該勒索軟件是用Rust編寫(xiě)的，并從阿爾及利亞上傳到VirusTotal。其原型加密文件、創(chuàng)建勒索信、修改環(huán)境并檢查管理員權(quán)限。

該組織廣泛使用AI來(lái)增強(qiáng)能力，其工具和腳本具有經(jīng)過(guò)打磨的AI生成的代碼注釋，包括在他們的Rust勒索軟件源代碼中。

"在他們發(fā)布的一些信息中，該組織特別將其勒索軟件的開(kāi)發(fā)與AI輔助代理聯(lián)系起來(lái)，很可能為其提供了勒索軟件的源代碼，并簡(jiǎn)單地在他們的網(wǎng)站上分享了輸出。"報(bào)告繼續(xù)說(shuō)道，"這些工具的使用與該組織的公開(kāi)聲明密切相關(guān)，因?yàn)樗麄冞€發(fā)布了一個(gè)基于Miniapps的AI聊天機(jī)器人來(lái)支持他們的操作。Miniapps是一個(gè)促進(jìn)AI應(yīng)用程序和聊天機(jī)器人創(chuàng)建和使用的平臺(tái)，通常沒(méi)有像ChatGPT這樣更流行的系統(tǒng)中的限制。FunkSec開(kāi)發(fā)的機(jī)器人專門用于支持惡意活動(dòng)。"

FunkSec于2024年10月出現(xiàn)，由使用Scorpion和DesertStorm別名的威脅行為者引入。后來(lái)，RaaS由名為El_Farado的其他威脅行為者推廣。XTN、Blako和Bjorka很可能與該組織有關(guān)聯(lián)。

一旦執(zhí)行，F(xiàn)unkSec勒索軟件就會(huì)禁用安全功能，包括Windows Defender、日志記錄、PowerShell限制和執(zhí)行期間的影子副本備份。

該惡意軟件將".funksec"擴(kuò)展名添加到加密文件的文件名中，然后在磁盤上放置勒索信。

RaaS操作與"自由巴勒斯坦"運(yùn)動(dòng)一致，目標(biāo)是印度和美國(guó)，并與已解散的黑客行動(dòng)主義組織如Ghost Algéria和Cyb3r Fl00d有關(guān)聯(lián)。

"FunkSec的操作突顯了AI在惡意軟件開(kāi)發(fā)中的作用、黑客行動(dòng)主義與網(wǎng)絡(luò)犯罪的重疊以及驗(yàn)證泄露數(shù)據(jù)的挑戰(zhàn)。它還引發(fā)了關(guān)于我們?nèi)绾卧u(píng)估勒索軟件組織構(gòu)成的威脅的問(wèn)題，因?yàn)槲覀兘?jīng)常依賴這些組織自己的聲明。"Check Point總結(jié)道，"這些發(fā)現(xiàn)反映了一個(gè)不斷變化的威脅格局，即使是低技能的行為者也可以利用可訪問(wèn)的工具來(lái)投射一個(gè)非常大的陰影。"

參考來(lái)源：https://securityaffairs.com/173018/cyber-crime/funksec-ransomware-was-developed-using-ai-tools.html