Ransomware FunkSec (Actualización)

Publicado hace 1 semana 23-01-2025

 El ransomware FunkSec emergió en diciembre de 2024, dándose a conocer por listar 31 víctimas en sus primeros 10 días de actividad, lo que demuestra su capacidad para infectar sistemas y resalta la peligrosidad de este grupo de ransomware.

Este grupo no solo cuenta con un modelo de Ransomware como servicio (RaaS), si no también ofrece otras herramientas, como su herramienta de ataques DDoS. Además, han agregado 2 nuevas herramientas desde nuestra última publicación: “JQRAXY HVNC”, una herramienta compilada en C++ para el manejo de escritorio remoto, automatización e interacción con los datos. La segunda herramienta es “Funkgenerate”, una herramienta de generación y obtención de posibles contraseñas de un email en Urls especifícas. Además, también ofrece sugerencias de nuevas contraseñas.


Imagen de las herramientas de FunkSec [1]

FunkSec fue uno de los grupos más activos durante diciembre de 2024 y, hoy en día, lo sigue siendo, con 126 víctimas listadas en su sitio de filtraciones. Recientemente, se ha descubierto que este ransomware utiliza Inteligencia Artificial para mejorar sus capacidades y herramientas. En específico, emplea un Large Language Model (LLM), un modelo de lenguaje a gran escala que utiliza una red neuronal para aprender y generar lenguaje natural de manera más sofisticada.

El grupo ha explicado cómo la IA mejora sus capacidades en distintos aspectos a través de mensajes publicados por ellos mismos, en los cuales afirman utilizar agentes asistidos por IA.


Imagen del mensaje por parte de FunkSec sobre su IA. [1]

También se ha desarrollado un chatbot que brinda orientación sobre actividades maliciosas. Esto es posible gracias a Miniapps, una plataforma que facilita la creación de chatbots sin las restricciones que imponen ChatGPT u otros servicios similares.


Imagen del chatbot de Funksec llamado “Scorpion”. [1]

Indicadores de Compromiso:

IOC Tipo
039f85a7670428430274476cbe733db4 FileHash-MD5
54e383ca658ebd3caaf586f032f1c401 FileHash-MD5
61d7585b5702d195bc35e0be2f75915c FileHash-MD5
834c7fd865eee5f7e17a3a1fb62e7051 FileHash-MD5
c5c47f7a17ef4533d1c162042aa0313b FileHash-MD5
f78a6b537244b544dc75a07bdbc7eda6ca15699e FileHash-SHA1
ff96db4b937971ca2d60e785ff9f706a50e51de4 FileHash-SHA1
20ed21bfdb7aa970b12e7368eba8e26a711752f1cc5416b6fd6629d0e2a44e5d FileHash-SHA256
5226ea8e0f516565ba825a1bbed10020982c16414750237068b602c5b4ac6abd FileHash-SHA256
7e223a685d5324491bcacf3127869f9f3ec5d5100c5e7cb5af45a227e6ab4603 FileHash-SHA256
dcf536edd67a98868759f4e72bcbd1f4404c70048a2a3257e77d8af06cb036ac FileHash-SHA256
dd15ce869aa79884753e3baad19b0437075202be86268b84f3ec2303e1ecd966 FileHash-SHA256

Recomendaciones

  • Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
  • Auditar herramientas de acceso remoto. (NIST CSF, 2024)
  • Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
  • Limitar estrictamente el uso de los protocolos SMB y RDP.
  • Realizar auditorías de seguridad. (NIST CSF, 2024)
  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
  • Tener filtros de correo electrónico y spam.
  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
  • Realizar copias de seguridad, respaldos o back-ups constantemente.
  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
  • Revisar continuamente los privilegios de los usuarios.
  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
  • Habilitar la autenticación multifactor.

Referencias

  1. Check Point Research (2025. enero 10) FunkSec – Alleged Top Ransomware Group Powered by AI. Recuperado el 21 de enero del 2025 en: https://research.checkpoint.com/2025/funksec-alleged-top-ransomware-group-powered-by-ai/
  2. Balmaceda, A. (2025, enero 20) FunkSec, la amenaza de ransomware impulsada por IA más controvertida. Recuperado el 21 de enero del 2025 en: Dragon Ransomware - Decryption, removal, and lost files recovery (updated)
  3. LevelBlue - Open Threat Exchange. (2025, enero 10). LevelBlue Open Threat Exchange. Recuperado el 21 de enero del 2025 en:https://otx.alienvault.com/pulse/678127dbf6bb4958da4254cd

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Vulnerabilidad Crítica de Cisco (CVE-2025-20156)
Publicado hace 3 días 27-01-2025

Cisco ha publicado tres nuevos avisos de seguridad el pasado 22 de enero de 2025. Estos avisos abarcaban diferentes vulnerabilidades de distinta criticidad; sin embargo, se destacó una vulnerabilidad crítica identificada como “CVE-2025-20156”, la cual ob......

Ransomware FunkSec (Actualización)
Publicado hace 1 semana 23-01-2025

 El ransomware FunkSec emergió en diciembre de 2024, dándose a conocer por listar 31 víctimas en sus primeros 10 días de actividad, lo que demuestra su capacidad para infectar sistemas y resalta la peligrosidad de este grupo de ransomware. Este......

Campaña de Vishing para desplegar ransomware
Publicado hace 1 semana 23-01-2025

Recientemente, se han detectado dos nuevas campañas de vishing, una técnica fraudulenta utilizada para engañar a las personas mediante llamadas telefónicas o a través de internet. Estas campañas se están llevando a cabo mediante la......

BOLETINES RECIENTES

...
Vulnerabilidad Crítica de Cisco (CVE-2025-20156)
Publicado hace 3 días 27-01-2025
Leer más
...
Ransomware FunkSec (Actualización)
Publicado hace 1 semana 23-01-2025
Leer más
...
Campaña de Vishing para desplegar ransomware
Publicado hace 1 semana 23-01-2025
Leer más