Ransomware Funksec
Se ha identificado un nuevo ransomware denominado Funksec, detectado en diciembre de 2024. En tan solo los primeros 10 días del mes, ya ha afectado a 31 víctimas.
El primer ataque registrado de Funksec ocurrió el 4 de diciembre del mismo año, día en el que listó a 13 víctimas en su sitio de filtraciones. A medida que avanzaron los días, más organizaciones fueron añadidas a su lista, lo que evidencia su capacidad de afectación y su peligrosidad. Al analizar las entidades afectadas, se observa que este ransomware no tiene una preferencia específica por un sector en particular, ya que entre sus víctimas se encuentran empresas de tecnología, salud, educación, telecomunicaciones, logística y otros sectores.
Funksec emplea tácticas de doble extorsión, una estrategia común en los ransomwares modernos. Este método consiste en infectar un dispositivo, exfiltrar la información almacenada en él y, posteriormente, cifrar todos los archivos. La víctima es entonces listada en el sitio de filtraciones del ransomware y amenazada con la publicación de su información confidencial si no paga el rescate antes de la fecha límite establecida.
Imagen del sitio de filtraciones [2]
Funksec no solo es un ransomware, sino que también pone a disposición otra herramienta gratuita de ataques DDoS. Por el momento, solo ofrece esa herramienta, pero no se descarta que, con el tiempo, añada más herramientas a su lista, ya sean de paga o gratuitas, como lo es el caso del DDoS.
Imagen de la herramienta publicada en el sitio de filtraciones [1]
Imagen de un disclaimer sobre la herramienta [1]
A pesar de que el registro de sus ataques empieza desde diciembre, en el mes de septiembre ya se tenia registro de conversaciones que involucraban a este grupo en foros de cibercriminales.
Mención del ransomware Funksec en un grupo cibercriminal [1]
Mención de un ataque por parte del ransomware Funksec [1]
Indicadores de Compromiso:
|
IOC |
Tipo |
|
181.224.231.148 |
IPv4 |
|
207.180.201.194 |
IPv4 |
|
9b9b18360d7bae6349cb828f0eb22306 |
FileHash-MD5 |
|
c21b18ab9db3f180927d4fe82d82ec60 |
FileHash-MD5 |
|
3e38b20b5a1f43f7a0720403857e220338377037 |
FileHash-SHA1 |
|
7726d70eb75a66c4cf1bd74576108bfb5753d4a6 |
FileHash-SHA1 |
|
1a7ac94f8a2cbbcad2cb25a1aaf16cfe1e1156445e859a1822c834b21b564dfb |
FileHash-SHA256 |
|
e7c5a3df933efa32853ef85a22b55c9e99d10feb5b929ae514096106c63228c4 |
FileHash-SHA256 |
|
51.77.140.4 |
IPv4 |
|
7ixfdvqb4eaju5lzj4gg76kwlrxg4ugqpuog5oqkkmgfyn33h527oyyd.onion |
domain |
|
pke2vht5jdeninupk7i2thcfvxegsue6oraswpka35breuj7xxz2erid.onion |
domain |
|
ykqjcrptcai76ru5u7jhvspkeizfsvpgovton4jmreawj4zdwe4qnlid.onion |
domain |
Recomendaciones
-
Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
-
Price, A. (2024. Diciembre 3) Take Me Down to Funksec Town: Funksec Ransomware DLS Emergence. Recuperado el 10 de diciembre del 2024 en: https://www.cyjax.com/resources/blog/take-me-down-to-funksec-town-funksec-ransomware-dls-emergence/
-
Ransomlook.io. (S.F.) Funksec. Recuperado el 10 de diciembre del 2024 en: https://www.ransomlook.io/group/funksec
-
Red Piranha (2024, Diciembre 9.) threat intelligence report december 3 december 9 2024 Recuperado el 10 de diciembre del 2024 en: https://redpiranha.net/news/threat-intelligence-report-december-3-december-9-2024
