Kaspersky: FunkSec, grup ransomware susţinut de AI, lansează atacuri la scară largă cu răscumpărări mici şi funcţii protejate prin parolă

Kaspersky avertizează asupra apariţiei unui nou actor periculos pe scena criminalităţii cibernetice - FunkSec, un grup ransomware emergent, susţinut de inteligenţă artificială, care vizează volume mari de atacuri cu sume mici de răscumpărare, potrivit unui comunicat emis redacţiei.

Potrivit experţilor din cadrul Global Research and Analysis Team (GReAT) de la Kaspersky, FunkSec ilustrează o nouă generaţie de ransomware: sofisticat, scalabil, multifuncţional şi extrem de adaptabil. Grupul a apărut în urmă cu mai puţin de un an, dar a depăşit deja mulţi actori consacraţi, vizând instituţii guvernamentale, financiare, educaţionale şi din tehnologie, cu precădere din Europa şi Asia.

Analiza publicată de Kaspersky arată că FunkSec se bazează pe un binar unic, scris în Rust, care combină criptarea completă a fişierelor cu exfiltrarea agresivă a datelor şi funcţii de auto-curăţare pentru evitarea detecţiei. Acesta poate dezactiva peste 50 de procese active pe dispozitivul ţintă şi include un mecanism de control bazat pe parolă: fără parolă, malware-ul criptează fişierele; cu parolă, se activează şi extragerea datelor sensibile.

Un element esenţial care diferenţiază FunkSec este utilizarea AI generative pentru dezvoltarea codului. Analiştii Kaspersky au identificat numeroase indicii ale generării automate, inclusiv comentarii generice şi secţiuni de cod nealiniate pentru diferite sisteme de operare. Prezenţa unor funcţii neutilizate confirmă că AI-ul a fost folosit în fazele de construcţie a instrumentelor, reducând timpul de dezvoltare şi coborând pragul de acces pentru infractorii cibernetici.

„Vedem din ce în ce mai des infractori cibernetici care utilizează AI pentru a dezvolta instrumente malware. AI-ul generativ accelerează procesul şi permite chiar şi actorilor fără experienţă să creeze programe sofisticate”, explică Marc Rivero, cercetător principal în securitate la Kaspersky GReAT.

FunkSec se remarcă şi prin strategia sa de răscumpărări mici - începând de la 10.000 USD - completată de valorificarea datelor exfiltrate pe piaţa neagră. Modelul adoptat este low-cost, high-frequency, menit să maximizeze profitul prin automatizare şi volum.

Grupul şi-a extins recent activitatea dincolo de ransomware, lansând pe platforma proprie dark leak un generator de parole şi un instrument DDoS, ambele indicând urme de generare AI.

Tehnicile de evitare a detecţiei sunt avansate: malware-ul poate rula chiar şi cu drepturi limitate, iar nivelul ridicat de integrare face ca analiza forensică să fie extrem de dificilă.

Kaspersky detectează această ameninţare sub denumirea HEUR:Trojan-Ransom.Win64.Generic şi oferă o serie de recomandări pentru protecţia companiilor: activarea protecţiei anti-ransomware pe toate endpoint-urile, actualizarea constantă a software-ului, monitorizarea traficului de ieşire, implementarea de soluţii EDR şi anti-APT, utilizarea backup-urilor offline şi integrarea informaţiilor din Threat Intelligence.

Compania subliniază că FunkSec reprezintă o transformare profundă în peisajul ransomware-ului modern, unde AI, automatizarea şi scalabilitatea înlocuiesc modelul tradiţional bazat pe atacuri individuale de amploare.