背景

家族介绍

FunkSec 是一个新兴且活跃的勒索软件组织，自 2024 年 11 月首次被报道以来，已影响超过 120 家组织，涵盖政府、国防、科技、金融和教育等领域。他们的攻击目标遍及多个国家，特别是美国、印度、西班牙和蒙古。

AI 的使用

FunkSec 利用人工智能（AI）技术开发其加密器代码，这对于勒索软件组织而言是基本能力。虽然这种做法表面上显得智能化，但也反映了他们在代码开发方面的有限理解。

代码中的AI辅助

此外，FunkSec 在其 DDoS 脚本和其他产品的代码中包含了由大型语言模型（LLM）生成的详细注释，显示出他们对 AI 的依赖。

AI聊天机器人

该组织还部署了一个基于 Miniapps 平台的 AI 聊天机器人，以支持其恶意活动。Miniapps 是一个用于创建和使用 AI 应用程序和聊天机器人的平台，不受语言限制。FunkSec 开发的聊天机器人专门用于支持其恶意活动。

代码起源和发布

FunkSec 的初始代码版本与名为 GhostAlgeria 的威胁行为者所使用的恶意软件具有相似之处。他们的代码主要使用 Rust 编写，其中一款工具 dev.exe 被认为源自阿尔及利亚的威胁行为者。FunkSec 的勒索软件经历了多次更新，包括版本 1、1.5，以及最新的 2.0 版本。

平台介绍

FunkSec 逐渐更新了他们使用的代码以及他们的数据泄露网站，这使得他们能够维持在线的战略存在。用户通过一个洋葱链接访问 FunkSec 数据泄露网站。FunkSec 在 2024 年 11 月下旬创建了该网站，包括四个部分：数据、拍卖、论坛、受害者&证明

数据展示页面

列出被泄露的数据供浏览。

拍卖页面

FunkSec 的 FunkBID 官方拍卖市场于 2025 年 2 月初上线，允许推广数据和其他服务，为潜在卖家创造空间。FunkBID 网站上列出了黑帽工具、源代码、恶意软件和访问等页面，其中访问部分包含已被黑客入侵的网站或网络的出价信息。

论坛页面

用于讨论黑客技术、代码编程、新闻以及被勒索信息发布等。

受害者&提交证明页面

包含会话 ID、姓名、电子邮件地址以及加密文件等信息。加密文件用于验证联系他们的组织是否为受害者，并接收加密样本的解密版本。