FunkSec-ransomwaregroep zet AI in om op massale schaal te opereren

Hiervoor waarschuwt Kaspersky op basis van onderzoek van zijn Global Research and Analysis Team (GReAT). FunkSec is eind 2024 opgedoken en heeft zich in korte tijd ontwikkeld tot een invloedrijke speler in de cybercriminaliteit. De groep richt zich op sectoren zoals overheid, technologie, financiën en onderwijs in Europa en Azië.

Grootschalige versleuteling en agressieve data-exfiltratie

FunkSec onderscheidt zich door zijn geavanceerde technische architectuur en AI-ondersteunde ontwikkeling. De groep verpakt grootschalige versleuteling en agressieve data-exfiltratie in een enkele op Rust gebaseerde executable. Deze executable kan meer dan vijftig processen op de machines van slachtoffers uitschakelen en is uitgerust met self-cleanup functies om beveiligingsmaatregelen te omzeilen. Naast de kernfunctionaliteit van ransomware heeft FunkSec zijn toolkit uitgebreid met een wachtwoordgenerator en een DDoS-tool, beide met duidelijke tekenen van codesynthese met behulp van grote taalmodellen (LLM's).

GReAT van Kaspersky monitort het ransomware-dreigingslandschap. Volgens het laatste State of Ransomware-rapport is het aantal gebruikers dat wereldwijd wordt getroffen door ransomware-aanvallen tussen 2023 en 2024 met 0,02% gestegen naar 0,44%. Hoewel dit percentage relatief laag lijkt ten opzichte van andere cyberdreigingen, geeft het aan dat aanvallers zich vooral richten op hoogwaardige doelwitten in plaats van op grootschalige verspreiding. Elk incident kan hierdoor verwoestende gevolgen hebben. Binnen dit veranderende landschap komt FunkSec naar voren als een bijzonder zorgwekkende bedreiging.

Geavanceerde tools en tactieken

De aanpak van FunkSec combineert geavanceerde tools en tactieken. Zo beschikt de FunkSec-ransomware over een uniek wachtwoordgebaseerd mechanisme, dat de werkingsmodi controleert. Zonder een wachtwoord voert de malware basisbestandversleuteling uit, terwijl het geven van een wachtwoord een agressiever proces voor het exfiltreren van gegevens activeert naast versleuteling om gevoelige gegevens te stelen. FunkSec verpakt volledige versleuteling, lokale exfiltratie en self-cleanup in een enkele Rust binary, zonder een side-loader of een begeleidend script. Dit niveau van consolidatie is ongebruikelijk en biedt een gebruiksklare tool die bijna overal kan worden ingezet.

Code-analyse laat zien dat FunkSec actief gebruikmaakt van GenAI om zijn tools te ontwikkelen. Veel delen van de code lijken automatisch gegenereerd in plaats van handmatig geschreven. Kenmerken hiervan zijn algemene placeholdercommentaren en technische inconsistenties. Daarnaast wijst de aanwezigheid van gedeclareerde maar ongebruikte functies erop hoe grote taalmodellen verschillende codefragmenten combineren zonder overbodige elementen te verwijderen.

'GenAI verlaagt de drempel'

"We zien steeds vaker dat cybercriminelen AI inzetten om kwaadaardige tools te ontwikkelen. Generatieve AI verlaagt de drempel en versnelt het maken van malware, waardoor cybercriminelen hun tactieken sneller kunnen aanpassen. Dankzij AI kunnen zelfs minder ervaren aanvallers tegenwoordig snel en grootschalig geavanceerde malware maken, omdat de drempel om te beginnen veel lager is geworden," zegt Marc Rivero, Lead Security Researcher bij Kaspersky's GReAT.

FunkSec eist ongewoon lage losgeldbetalingen van soms slechts 10.000 dollar. Dit koppelt de ransomware aan de verkoop van gestolen gegevens tegen gereduceerde prijzen aan derden. Deze aanpak lijkt gericht op het mogelijk maken van een groot aantal aanvallen, waarmee de groep snel een reputatie kan opbouwen binnen de cybercriminele onderwereld. In tegenstelling tot traditionele ransomware-groepen die uit zijn op losgeld van miljoenen dollars, maakt FunkSec gebruik van een hoogfrequent, goedkoop model. Dit onderstreept hoe de groep AI inzet om zijn activiteiten te stroomlijnen en op te schalen.

Ook andere aanvalstools

FunkSec heeft zijn mogelijkheden uitgebreid tot buiten de ransomware binary. De dark leak site (DLS) bevat aanvullende tools, waaronder een op Python gebaseerde wachtwoordgenerator die brute-force en wachtwoordspraying aanvallen ondersteunt, evenals een DDoS-basistool.

FunkSec maakt gebruik van geavanceerde ontwijkingstechnieken om detectie te vermijden en forensische analyse te bemoeilijken. De ransomware kan meer dan vijftig processen en services stoppen om een grondige versleuteling van de beoogde bestanden te garanderen. Daarnaast bevat het een terugvalmechanisme om bepaalde opdrachten uit te voeren, zelfs als de gebruiker die FunkSec start niet over voldoende rechten beschikt.

De producten van Kaspersky detecteren deze bedreiging als HEUR:Trojan-Ransom.Win64.Generic.