FunkSec Ransomware
Cybersicherheitsforscher haben kürzlich FunkSec entdeckt, eine KI-gestützte Ransomware-Familie, die Ende 2024 auftauchte. Obwohl sie relativ neu ist, hat die Gruppe bereits mehr als 85 Opfer in mehreren Ländern betroffen. Ihre Operationen kombinieren Datendiebstahl mit Verschlüsselung in einem doppelten Erpressungsschema. Was sie jedoch auszeichnet, sind ihre ungewöhnlich niedrigen Lösegeldforderungen, die manchmal nur 10.000 US-Dollar betragen. Anstatt sich ausschließlich auf Lösegeldzahlungen zu verlassen, verkauft FunkSec gestohlene Daten auch zu ermäßigten Preisen.
Inhaltsverzeichnis
Ausweitung des Betriebs durch einen zentralen Hub
Im Dezember 2024 startete FunkSec seine eigene Data Leak Site (DLS) und zentralisierte alle seine Aktivitäten. Die Plattform beherbergt Meldungen von Sicherheitsverletzungen, ein maßgeschneidertes Distributed Denial of Service (DDoS)-Tool und das maßgeschneiderte Ransomware-Angebot der Gruppe im Rahmen eines Ransomware-as-a-Service (RaaS)-Modells. Diese Infrastruktur unterstreicht FunkSecs Bemühungen, im cyberkriminellen Untergrund Glaubwürdigkeit aufzubauen.
Globale Reichweite, unerfahrene Schauspieler
Die Opfer befinden sich vor allem in den USA, Indien, Italien, Brasilien, Israel, Spanien und der Mongolei. Trotz der rasanten Ausbreitung deuten Analysen darauf hin, dass FunkSec das Werk relativ unerfahrener Angreifer sein könnte. Die Gruppe scheint Daten aus älteren Hacktivisten-Leaks zu recyceln, um ihren Ruf zu stärken.
Interessanterweise fungiert FunkSec auch als Datenmaklerdienst und bietet interessierten Käufern gestohlene Informationen für 1.000 bis 5.000 US-Dollar an. Diese Doppelrolle verwischt die Grenze zwischen Cyberkriminalität und Hacktivismus noch weiter.
Politische Verbindungen und Hacktivisten-Links
Die Gruppe hat versucht, sich der Bewegung „Freies Palästina“ anzuschließen, wobei sie sich auf inzwischen aufgelöste Hacktivisten-Kollektive wie Ghost Algeria und Cyb3r Fl00d bezog. Einige Mitglieder von FunkSec zeigen zudem direkte hacktivistische Tendenzen und verstärken damit die anhaltende Verflechtung von politischem Aktivismus, organisierter Cyberkriminalität und nationalstaatlichen Operationen.
Schlüsselfiguren hinter FunkSec
Forscher haben mehrere prominente Personen identifiziert, die mit FunkSec in Verbindung stehen:
- Scorpion (auch bekannt als DesertStorm) – Ein in Algerien ansässiger Schauspieler, der die Gruppe in Untergrundforen wie Breached Forum bewirbt.
- El_farado – Trat als Hauptförderer auf, nachdem DesertStorm aus dem Breached Forum verbannt wurde.
- XTN – Vermutlich verwaltet es einen unbekannten „Datensortierdienst“.
- Blako – Wird von DesertStorm häufig zusammen mit El_farado erwähnt.
KI-gesteuerte Tools und Techniken
Das Toolkit von FunkSec geht über Ransomware hinaus und umfasst Dienstprogramme für Remote-Desktop-Management (JQRAXY_HVNC), Passwortgenerierung (funkgenerate) und DDoS-Angriffe. Forscher gehen davon aus, dass die Entwicklung ihres Ransomware-Verschlüsselungsprogramms und der zugehörigen Tools durch KI unterstützt wurde, was trotz begrenzter technischer Expertise eine schnelle Iteration ermöglichte.
Die neueste Version, FunkSec V1.5, ist in Rust geschrieben. Frühere Varianten, die hauptsächlich aus Algerien hochgeladen wurden, enthielten Verweise auf FunkLocker und Ghost Algeria, was auf eine algerische Verbindung zum Kernentwickler hindeutet.
Technisches Verhalten der Malware
Bei der Ausführung ist die FunkSec-Ransomware folgendermaßen konfiguriert:
- Erhöhen Sie Ihre Berechtigungen.
- Deaktivieren Sie Sicherheitskontrollen.
- Löschen Sie Schattenkopie-Sicherungen.
- Beenden Sie eine fest codierte Liste von Prozessen und Diensten.
- Dateien in allen Verzeichnissen rekursiv verschlüsseln.
Diese operative Kette unterstreicht ihre Fähigkeit, Systeme trotz ihres unerfahrenen Hintergrunds zu stören.
Eine verschwommene Grenze zwischen Ideologie und Profit
Das Jahr 2024 war geprägt von einem deutlichen Anstieg der weltweiten Ransomware-Aktivitäten, wobei geopolitische Konflikte die Aktivitäten von Hacktivisten weiter anheizten. FunkSec verkörpert diese beunruhigende Mischung aus politischer Rhetorik und finanzieller Motivation und etablierte sich im Dezember 2024 als eine der aktivsten Ransomware-Gruppen. Obwohl ihr Einsatz von KI und wiederverwendeten Leaks Aufmerksamkeit verschafft hat, bleibt der langfristige Erfolg ihrer Kampagne ungewiss.
