AI驱动的勒索软件FunkSec使用双重勒索策略针对85名受害者

网络安全研究人员揭示了一种名为FunkSec的新兴人工智能（AI）辅助勒索软件家族，该家族于2024年底出现，迄今为止已造成85多名受害者。

CheckPointResearch在与TheHackerNews分享的一份新报告中表示：“该组织使用双重勒索策略，将数据盗窃与加密相结合，迫使受害者支付赎金。”。“值得注意的是，FunkSec要求异常低的赎金，有时低至1万美元，并以优惠的价格将被盗数据出售给第三方。”

FunkSec于2024年12月推出了其数据泄露网站（DLS），以“集中”其勒索软件操作，突出显示违规公告、进行分布式拒绝服务（DDoS）攻击的自定义工具，以及作为勒索软件即服务（RaaS）模型一部分的定制勒索软件。

大多数受害者位于美国、印度、意大利、巴西、以色列、西班牙和蒙古。CheckPoint对该组织活动的分析表明，这可能是新手演员的工作，他们试图通过回收以前与黑客行为主义相关的泄露信息来吸引恶名。

Halcyon表示，FunkSec值得注意的是，它既充当勒索软件集团，又充当数据代理，以1000至5000美元的价格向感兴趣的买家兜售被盗数据。

已经确定，RaaS集团的一些成员参与了黑客行动主义活动，突显出黑客行动主义和网络犯罪之间的界限持续模糊，正如民族国家行为者和有组织的网络犯罪分子越来越多地表现出“战术、技术甚至目标的令人不安的趋同”

他们还声称以印度和美国为目标，与“自由巴勒斯坦”运动结盟，并试图与现已解散的黑客组织如GhostAlgeria和Cyb3rFl00d建立联系。下面列出了一些与FunkSec相关的知名演员-

一位名为Scorpion（又名沙漠风暴）的阿尔及利亚籍演员，曾在BreastedForum等地下论坛上推广该组织

El_farado，在沙漠风暴被禁止参加违约论坛后，他成为FunkSec广告的主要人物

XTN，一个可能参与未知“数据排序”服务的同事

Blako与El_farado一起被沙漠风暴标记

Bjorka，一位知名的印尼黑客活动家，其化名已被用于在DarkForums上声称FunkSec的泄密，要么指向松散的关系，要么指向他们试图冒充FunkSec

DDoS攻击工具以及与远程桌面管理（JQRAXY_HVNC）和密码生成（funkgenerate）相关的工具的存在证明了该组织也可能涉足黑客活动。

CheckPoint指出：“该团队的工具（包括加密器）的开发可能是人工智能辅助的，尽管作者明显缺乏技术专长，但这可能有助于其快速迭代。”。

最新版本的勒索软件名为FunkSecV1.5，是用Rust编写的，工件从阿尔及利亚上传到VirusTotal平台。对旧版本恶意软件的检查表明，由于FunkLocker和GhostAlgeria等参考文献，威胁行为者也来自阿尔及利亚。

勒索软件二进制文件被配置为递归迭代所有目录并加密目标文件，但前提是要提升权限并采取措施禁用安全控制、删除卷影副本备份以及终止硬编码的进程和服务列表。

CheckPointResearch威胁情报组经理SergeyShykevich在一份声明中表示：“2024年对勒索软件组织来说是非常成功的一年，与此同时，全球冲突也助长了不同黑客组织的活动。”。

“FunkSec是一个新组织，最近在12月成为最活跃的勒索软件组织，它模糊了黑客行为主义和网络犯罪之间的界限。在政治议程和经济激励的双重推动下，FunkSec利用人工智能并重新利用旧的数据泄漏来建立一个新的勒索软件品牌，尽管他们活动的真正成功仍然值得怀疑。”

这一进展发生之际，Forescout详细介绍了HuntersInternational的一次攻击，该攻击可能利用OracleWebLogicServer作为初始入口点，投放了一个ChinaChopper网络外壳，然后用于执行一系列利用后活动，最终导致了勒索软件的部署。

福雷斯库特说：“在获得访问权限后，攻击者进行了侦察和横向移动，以绘制网络地图并升级权限。”。“袭击者使用了各种常见的行政和红队工具进行横向移动。”