Peneliti keamanan siber telah menjelaskan keluarga ransomware berbantuan kecerdasan buatan (AI) yang baru lahir yang disebut FunkSec yang muncul pada akhir tahun 2024, dan telah memakan lebih dari 85 korban hingga saat ini.
“Kelompok ini menggunakan taktik pemerasan ganda, menggabungkan pencurian data dengan enkripsi untuk menekan korban agar membayar uang tebusan,” kata Check Point Research dalam laporan baru yang dibagikan kepada The Hacker News. “Khususnya, FunkSec meminta uang tebusan yang sangat rendah, terkadang hanya $10.000, dan menjual data curian kepada pihak ketiga dengan harga lebih murah.”
FunkSec meluncurkan situs kebocoran data (DLS) pada bulan Desember 2024 untuk “mensentralisasi” operasi ransomware mereka, menyoroti pengumuman pelanggaran, alat khusus untuk melakukan serangan penolakan layanan terdistribusi (DDoS), dan ransomware yang dipesan lebih dahulu sebagai bagian dari ransomware- model as-a-service (RaaS).
Mayoritas korban berada di AS, India, Italia, Brasil, Israel, Spanyol, dan Mongolia. Analisis Check Point terhadap aktivitas kelompok tersebut mengungkapkan bahwa hal tersebut mungkin dilakukan oleh aktor pemula yang berusaha menarik ketenaran dengan mendaur ulang informasi yang bocor dari kebocoran terkait hacktivist sebelumnya.
Menurut Halcyon, FunkSec terkenal karena berfungsi baik sebagai grup ransomware dan broker data, menjajakan data curian kepada pembeli yang berminat seharga $1.000 hingga $5.000.
Telah diketahui bahwa beberapa anggota kelompok RaaS terlibat dalam kegiatan hacktivist, hal ini menunjukkan semakin kaburnya batasan antara hacktivisme dan kejahatan dunia maya, seperti halnya aktor-aktor negara-bangsa dan penjahat dunia maya yang terorganisir semakin menunjukkan “konvergensi taktik, teknik, dan bahkan tindakan yang meresahkan.” tujuan.”
Mereka juga mengklaim menargetkan India dan Amerika Serikat, menyelaraskan diri dengan gerakan “Bebaskan Palestina” dan berupaya untuk berasosiasi dengan entitas hacktivist yang kini sudah tidak ada lagi seperti Ghost Algeria dan Cyb3r Fl00d. Beberapa aktor terkemuka yang terkait dengan FunkSec tercantum di bawah ini –
- Seorang tersangka aktor yang berbasis di Aljazair bernama Scorpion (alias DesertStorm) yang telah mempromosikan grup tersebut di forum bawah tanah seperti Breached Forum
- El_farado, yang muncul sebagai tokoh utama yang mengiklankan FunkSec setelah larangan DesertStorm dari Breached Forum
- XTN, kemungkinan rekanan yang terlibat dalam layanan “penyortiran data” yang belum diketahui
- Blako, yang telah ditandai oleh DesertStorm bersama dengan El_farado
- Bjorka, seorang hacktivist Indonesia terkenal yang aliasnya digunakan untuk mengklaim kebocoran yang dikaitkan dengan FunkSec di DarkForums, baik menunjuk pada afiliasi yang longgar atau upaya mereka untuk meniru FunkSec
Kemungkinan bahwa kelompok tersebut juga mencoba-coba aktivitas hacktivist dibuktikan dengan hadirnya alat serangan DDoS, serta yang terkait dengan manajemen desktop jarak jauh (JQRAXY_HVNC) dan pembuatan kata sandi (funkgenerate).
“Pengembangan alat-alat yang dimiliki kelompok tersebut, termasuk enkripsi, kemungkinan besar dibantu oleh AI, yang mungkin berkontribusi terhadap pengulangan yang cepat meskipun penulisnya jelas-jelas kurang memiliki keahlian teknis,” jelas Check Point.
Versi terbaru ransomware, bernama FunkSec V1.5, ditulis dalam Rust, dengan artefak diunggah ke platform VirusTotal dari Aljazair. Pemeriksaan terhadap malware versi lama menunjukkan bahwa pelaku ancaman juga berasal dari Aljazair karena referensi seperti FunkLocker dan Ghost Algeria.
Biner ransomware dikonfigurasi untuk melakukan iterasi secara rekursif pada semua direktori dan mengenkripsi file yang ditargetkan, namun sebelumnya meningkatkan hak istimewa dan mengambil langkah untuk menonaktifkan kontrol keamanan, menghapus cadangan salinan bayangan, dan menghentikan daftar proses dan layanan yang dikodekan secara permanen.
“2024 adalah tahun yang sangat sukses bagi kelompok ransomware, sementara secara paralel, konflik global juga memicu aktivitas kelompok peretas yang berbeda,” Sergey Shykevich, manajer kelompok intelijen ancaman di Check Point Research, mengatakan dalam sebuah pernyataan.
“FunkSec, sebuah kelompok baru yang muncul akhir-akhir ini sebagai kelompok ransomware paling aktif pada bulan Desember, mengaburkan batasan antara hacktivisme dan kejahatan dunia maya. Didorong oleh agenda politik dan insentif keuangan, FunkSec memanfaatkan AI dan menggunakan kembali kebocoran data lama untuk membangun merek ransomware baru, meskipun keberhasilan sebenarnya dari kegiatan mereka masih sangat dipertanyakan.”
Perkembangan ini terjadi ketika Forescout merinci serangan Hunters International yang kemungkinan memanfaatkan Oracle WebLogic Server sebagai titik masuk awal untuk menjatuhkan web shell China Chopper, yang kemudian digunakan untuk melakukan serangkaian aktivitas pasca-eksploitasi yang pada akhirnya mengarah pada penerapan serangan tersebut. ransomware.
“Setelah mendapatkan akses, para penyerang melakukan pengintaian dan gerakan lateral untuk memetakan jaringan dan meningkatkan hak istimewa,” kata Forescout. “Para penyerang menggunakan berbagai alat administratif dan tim merah yang umum untuk pergerakan lateral.”
