Nel corso dell’evento Kaspersky Horizons di Madrid, gli esperti del Global Research and Analysis Team (GReAT) dell’azienda hanno svelato il funzionamento di FunkSec, un gruppo ransomware che rappresenta il futuro della cybercriminalità globale: IA-powered, multifunzionale, altamente adattivo che opera su larga scala, richiede riscatti a partire da 10.000 dollari ed è in grado di massimizzare i profitti.
Il GReAT di Kaspersky monitora costantemente il panorama delle minacce ransomware in continuo aumento. Secondo l’ultimo State of Ransomware Report dell’azienda, la percentuale di utenti coinvolti in attacchi ransomware a livello mondiale è aumentata dello 0,44% dal 2023 al 2024, con una crescita di 0,02 punti percentuali. Sebbene questo dato possa sembrare basso rispetto ad altre minacce informatiche, riflette in realtà il comportamento degli aggressori, che in genere privilegiano obiettivi di alto valore piuttosto che attacchi di massa, rendendo ogni singolo incidente potenzialmente devastante.
In questo scenario in evoluzione, FunkSec emerge come una minaccia particolarmente preoccupante. Comparso alla fine del 2024, FunkSec è attivo da meno di un anno ma ha rapidamente superato molti attori consolidati, prendendo di mira diversi settori, tra cui quello governativo, tecnologico, finanziario e dell’istruzione in Europa e Asia.
Quello che distingue FunkSec è la sua sofisticata architettura tecnica e lo sviluppo basato sull’intelligenza artificiale. Il gruppo ha integrato la crittografia su larga scala e il trasferimento aggressivo dei dati in un unico programma eseguibile, basato su Rust, capace di disabilitare oltre 50 processi sui computer delle vittime e dotato di funzioni di auto-pulizia per eludere le difese. Oltre alla funzionalità ransomware principale, FunkSec ha ampliato il proprio kit di strumenti includendo un generatore di password e uno strumento DDoS di base, entrambi con evidenti tracce di sintesi del codice tramite Large Language Models (LLM).
L’approccio di FunkSec riflette l’evoluzione del panorama della cybercriminalità di massa, combinando strumenti e tattiche avanzate. Gli esperti del GReAT di Kaspersky sottolineano le caratteristiche principali che definiscono le operazioni del gruppo.
Funzionalità Password-Controlled
Gli esperti del GReAT di Kaspersky hanno scoperto che il ransomware FunkSec utilizza un meccanismo unico, basato su password, per controllare le procedure operative. In assenza di una password, il malware esegue una crittografia di base dei file; se invece viene fornita una password, si attiva un processo molto più avanzato, che combina la crittografia con l’esfiltrazione mirata di dati sensibili.
FunkSec integra crittografia su larga scala, esfiltrazione locale dei dati e autopulizia all’interno di un unico file binario scritto in Rust, senza l’uso di side-loader o script di supporto. Questo livello di consolidamento è raro e consente agli affiliati di disporre di uno strumento plug-and-play, facilmente distribuibile in qualsiasi ambiente.
Utilizzo dell’intelligenza artificiale per lo sviluppo
Dall’analisi del codice è emerso che FunkSec utilizza attivamente l’intelligenza artificiale generativa per creare i propri strumenti. Molte parti del codice sembrano generate automaticamente, piuttosto che scritte manualmente. Lo dimostrano i commenti generici di tipo placeholder (come “placeholder for actual check”) e alcune incongruenze tecniche, come i comandi destinati a diversi sistemi operativi che non risultano correttamente allineati. Inoltre, la presenza di funzioni dichiarate ma non utilizzate, come moduli aggiunti in anticipo ma mai impiegati, riflette il modo in cui gli LLM tendono a combinare frammenti di codice senza eliminare gli elementi ridondanti.
“Sempre più spesso assistiamo a cybercriminali che sfruttano l’IA per sviluppare strumenti dannosi. L’IA generativa abbassa le barriere e accelera la creazione di malware, consentendo ai criminali informatici di adeguare più rapidamente le proprie tattiche. Riducendo la soglia d’ingresso, l’IA permette anche agli attaccanti meno esperti di sviluppare rapidamente malware sofisticati su larga scala”, ha commentato Marc Rivero, Lead Security Researcher di Kaspersky GReAT.
Strategia high-volume, low-ransom
FunkSec richiede un riscatto insolitamente basso, a volte anche di 10.000 dollari, e lo abbina alla vendita dei dati rubati a prezzi scontati a terze parti. Questa strategia sembra progettata per consentire un alto volume di attacchi, permettendo al gruppo di stabilire rapidamente una reputazione all’interno degli ambienti cybercriminali. A differenza dei gruppi ransomware tradizionali, che richiedono riscatti milionari, FunkSec adotta un modello ad alta frequenza e basso costo, sottolineando ulteriormente l’uso dell’intelligenza artificiale per semplificare e scalare le operazioni.
Non solo ransomware
FunkSec ha ampliato le sue capacità oltre il ransomware. Il Dark Leak Site (DLS) del gruppo ospita anche altri strumenti, tra cui un generatore di password basato su Python, progettato per supportare attacchi brute-force e password spraying, oltre a uno strumento DDoS di base.
Tattiche di evasione avanzata
FunkSec utilizza tecniche avanzate di evasione per evitare il rilevamento e complicare l’analisi forense. È in grado di bloccare oltre 50 processi e servizi per garantire una crittografia completa dei file target. Inoltre, include un meccanismo di fallback che consente l’esecuzione di determinati comandi anche se l’utente che avvia FunkSec non dispone di privilegi sufficienti.
I prodotti Kaspersky identificano questa minaccia come HEUR:Trojan-Ransom.Win64.Generic.
Gli esperti di Kaspersky consigliano alle aziende di seguire queste best practice per proteggersi dagli attacchi ransomware:
· Attivare la protezione ransomware per tutti gli endpoint, come lo strumento gratuito Kaspersky Anti-Ransomware Tool for Business che protegge computer e server da ransomware e altri tipi di malware, previene gli exploit ed è compatibile con le soluzioni di sicurezza già installate.
· Aggiornare costantemente il software su tutti i dispositivi utilizzati per evitare che gli attaccanti sfruttino le vulnerabilità e possano introdursi nella rete.
· Focalizzare la strategia di difesa sul rilevamento dei movimenti laterali e dell'esfiltrazione dei dati su Internet. Prestando particolare attenzione al traffico in uscita per individuare le connessioni dei criminali informatici alla rete. Impostare backup offline che non possano essere manomessi da eventuali intrusioni e assicurarsi di potervi accedere rapidamente in caso di necessità o di emergenza.
· Installare soluzioni anti-APT e EDR, in grado di fornire funzionalità per il rilevamento delle minacce avanzate, analisi e ripristino tempestivo degli incidenti. Fornire al team SOC l'accesso alle informazioni più recenti sulle minacce e aggiornarlo regolarmente con una formazione specifica. Tutti questi servizi sono disponibili all'interno del Kaspersky Expert Security framework.
· Utilizzare le informazioni di Threat Intelligence più recenti per conoscere le tattiche, le tecniche e le procedure (TTP) utilizzate dagli attori delle minacce
· Per proteggere l'azienda da un'ampia gamma di minacce, utilizzare le soluzioni della linea di prodotti Kaspersky Next, che offrono protezione in tempo reale, visibilità delle minacce, funzionalità di indagine e risposta EDR e XDR per aziende di qualsiasi dimensione e settore. In base alle esigenze attuali e alle risorse disponibili, è possibile scegliere il livello di prodotto più adatto e passare facilmente a un altro se le esigenze di cybersecurity cambiano.
