Бюджетный шантаж: почему FunkSec просит заметно меньше других вымогателей

Исследователи в области кибербезопасности раскрыли подробности о новой хакерской группировке FunkSec, занимающейся разработкой программного обеспечения для вымогательства на базе искусственного интеллекта. Группа появилась в конце 2024 года и уже насчитывает более 85 жертв.

FunkSec использует тактику двойного вымогательства, совмещая кражу данных с их шифрованием, чтобы оказывать давление на жертв и добиваться выкупов. По данным Check Point, сумма выкупов, запрашиваемая группой, иногда составляла всего $10 000, что весьма немного по меркам вымогателей, а украденные данные продавались сторонним покупателям по сниженным ценам.

В декабре 2024 года FunkSec запустила собственный сайт для утечек данных, который стал централизованной платформой для операций. Помимо объявлений о взломах, на сайте представлены инструменты для проведения DDoS-атак и уникальное программное обеспечение в рамках модели ransomware-as-a-service ( RaaS ).

Большинство жертв FunkSec находится в США, Индии, Италии, Бразилии, Израиле, Испании и Монголии. Анализ показал, что группа, вероятно, состоит из новичков, стремящихся к известности за счёт переработки данных из утечек, связанных с хактивистами. Некоторые участники группы ранее активно занимались хактивизмом, что подчёркивает размытие границ между хактивизмом и киберпреступностью.

Группа заявляет, что атакует США и Индию, высказывая поддержку движению «Свободная Палестина» и пытаясь ассоциироваться с ныне неактивными хактивистами, такими как Ghost Algeria и Cyb3r Fl00d. Среди ключевых участников FunkSec называются следующие:

• Scorpion (DesertStorm) — предполагаемый участник из Алжира, продвигающий группу на форумах, таких как Breached;
• El_farado — главный представитель группы после блокировки DesertStorm;
• XTN — участник, предоставляющий услуги по «сортировке данных»;
• Blako — упоминается DesertStorm и El_farado;
• Bjorka — известный индонезийский хактивист, чьё имя использовалось для публикации утечек от имени FunkSec.

Участие группы в хактивистской деятельности подтверждается наличием инструментов для DDoS-атак, управления удалёнными рабочими столами (JQRAXY_HVNC) и генерации паролей (funkgenerate).

Разработка инструментов группы, включая шифровальщик, вероятно, велась с использованием искусственного интеллекта. Это позволило быстро совершенствовать их несмотря на отсутствие у разработчиков значительного технического опыта. Последняя версия программы, FunkSec V1.5, написана на языке Rust и была загружена на платформу VirusTotal из Алжира.

Программа шифрует файлы на устройствах жертв, предварительно отключая защитные механизмы, удаляя резервные копии и завершая работу определённых процессов.

Эксперты отмечают, что 2024 год стал успешным для групп, занимающихся вымогательством, а глобальные конфликты способствовали активности хактивистов. FunkSec, совмещая политические цели и финансовую выгоду, использует ИИ и старые утечки для создания собственного бренда, однако реальный успех их деятельности вызывает сомнения.