Analyse d'attaque : Se défendre contre le ransomware Codefinger dans AWS S3 >

Analyse d'attaque : Se défendre contre le ransomware Codefinger dans AWS S3 >

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icône de hamburger en haut de page
Icône de hamburger ligne médiane
Icône de hamburger ligne inférieure
cybercriminels
>
Groupe de Ransomware

FunkSec

FunkSec représente une nouvelle vague de groupes de ransomwares assistés par l'IA, mêlant cybercriminalité et hacktivisme. Si leur sophistication technique est discutable, leurs tactiques et leur visibilité publique en font une menace notable. Les équipes de sécurité doivent surveiller les tendances des malware pilotés par l'IA et se préparer à des attaques de ransomware utilisant des tactiques d'automatisation et de tromperie.

Détecter les TTP de FunkSec
Votre organisation est-elle à l'abri de FunkSec ?
Contexte
Cibles
TTPs
Détection
Foire aux questions
Regarder notre Threat Briefing

Les antécédents de FunkSec

FunkSec est un groupe de ransomwares apparu à la fin de l'année 2024, qui s'est rapidement fait connaître par le nombre élevé de victimes qu'il a revendiquées publiquement. Contrairement à d'autres gangs de ransomwares bien établis, FunkSec semble être une opération relativement nouvelle et indépendante, sans liens connus avec des familles de ransomwares antérieures. Le groupe utilise une double tactique d'extorsion, combinant le chiffrement et le vol de données pour pousser les victimes à payer des rançons.

L'une des principales caractéristiques de FunkSec est le développement de malware assisté par l'IA, qui permet même à des acteurs inexpérimentés de créer rapidement des outils malveillants et de les faire évoluer. Le groupe semble opérer à l'intersection de l'hacktivisme et de la cybercriminalité, ce qui rend difficile la détermination de ses véritables motivations. Certains des ensembles de données divulgués ont été recyclés à partir de campagnes d'hacktivisme antérieures, ce qui jette un doute sur l'authenticité de leurs divulgations.

Alors que FunkSec se présente comme une opération sophistiquée de ransomware-as-a-service (RaaS), les chercheurs en sécurité ont identifié de nombreux signes indiquant que l'expertise technique du groupe est limitée. La plupart de leurs activités semblent motivées par un désir de notoriété plutôt que par des gains financiers, comme en témoignent leurs faibles demandes de rançon et leurs efforts de promotion publique sur les forums de cybercriminalité.

Source : Checkpoint

Les antécédents de FunkSec
Cibles

Les cibles de FunkSec

Pays ciblés

La majorité des victimes revendiquées par FunkSec sont originaires d'Inde et des États-Unis, d'autres attaques ayant visé des organisations européennes et du Moyen-Orient. Son alignement sur le mouvement "Free Palestine" suggère une possible motivation géopolitique, bien qu'il puisse s'agir davantage d'une question d'image de marque que d'une réelle intention politique.

Industries ciblées

FunkSec ne semble pas se concentrer sur un seul secteur, mais a attaqué des institutions gouvernementales, des services de santé, des services financiers et des entreprises technologiques. Le modèle RaaS (ransomware-as-a-service) du groupe permet à de nombreux affiliés d'utiliser ses outils, ce qui élargit le champ des victimes potentielles. Certains secteurs ciblés correspondent aux motivations des hacktivistes, en particulier les agences gouvernementales et les infrastructures.

Source de l'image : PCrisk

Industries ciblées

FunkSec ne semble pas se concentrer sur un seul secteur, mais a attaqué des institutions gouvernementales, des services de santé, des services financiers et des entreprises technologiques. Le modèle RaaS (ransomware-as-a-service) du groupe permet à de nombreux affiliés d'utiliser ses outils, ce qui élargit le champ des victimes potentielles. Certains secteurs ciblés correspondent aux motivations des hacktivistes, en particulier les agences gouvernementales et les infrastructures.

Source de l'image : PCrisk

Victimes notables

On estime à 138 le nombre d'organisations victimes des attaques de FunkSec.

Méthode d'attaque

Méthode d'attaque de FunkSec

Accès Initial
Élévation de privilèges
Défense Evasion
Accès aux identifiants
Découverte
Mouvement latéral
Collection
Exécution
Exfiltration
Impact
Une figure ombrageuse jetant un large filet sur un paysage numérique rempli de divers appareils tels que des ordinateurs, des smartphones et des tablettes. Le filet symbolise les tentatives de l'attaquant de trouver des vulnérabilités ou d'utiliser des techniques phishing pour obtenir un accès non autorisé.

FunkSec obtient l'accès par le biais de courriels d'phishing , le bourrage d'informations d'identification et l'exploitation de vulnérabilités non corrigées dans les systèmes exposés. Ils s'appuient également sur des informations d'identification volées sur des forums du dark web.

Une échelle numérique s'étendant vers le haut à partir d'une icône d'utilisateur de base vers une couronne symbolisant les privilèges administratifs. Cela représente les efforts de l'attaquant pour obtenir un accès de plus haut niveau au système.

Le groupe tente d'élever les privilèges en utilisant des techniques de vol d'informations d'identification, de manipulation de jetons et d'exploitation de mauvaises configurations dans les environnements Windows.

Un caméléon qui se fond dans un arrière-plan numérique, avec des zéros et des uns qui circulent autour de lui. Cela représente la capacité de l'attaquant à éviter d'être détecté par les mesures de sécurité, en changeant de tactique pour se fondre dans le trafic normal du réseau.

FunkSec désactive Windows Defender, la journalisation des événements et les fonctions de sécurité PowerShell pour éviter d'être détecté. Son ransomware est compilé en Rust, ce qui peut rendre l'analyse et la détection plus difficiles.

Un voleur muni d'une trousse de crochetage travaille sur un trou de serrure géant en forme de formulaire de connexion, représentant les efforts de l'attaquant pour voler les informations d'identification de l'utilisateur afin d'obtenir un accès non autorisé.

Ils déploient des enregistreurs de frappe et des outils de récupération de mots de passe tels que funkgenerate, qui recueille des informations d'identification à partir de systèmes et de sites web compromis.

Une loupe se déplaçant sur une carte numérique d'un réseau, mettant en évidence les fichiers, les dossiers et les connexions réseau. Cette image représente la phase où les attaquants explorent l'environnement pour en comprendre la structure et savoir où se trouvent les données importantes.

FunkSec analyse les réseaux infectés pour localiser les fichiers précieux et déterminer les actifs les plus critiques à chiffrer.

Une série de nœuds interconnectés avec une silhouette se déplaçant furtivement entre eux. Cela illustre les mouvements de l'attaquant au sein du réseau, cherchant à prendre le contrôle d'autres systèmes ou à propager malware.

Ils utilisent des outils HVNC (hidden virtual network computing) et des exploits de bureau à distance pour se déplacer sur des réseaux compromis.

Un grand aspirateur qui aspire des fichiers, des icônes de données et des dossiers dans un sac tenu par une personne de l'ombre. Cette image symbolise le processus de collecte de données précieuses sur le réseau cible.

Le groupe exfiltre des fichiers sensibles à l'aide de scripts Python personnalisés et d'outils standard tels que Rclone avant de chiffrer les données de la victime.

Une fenêtre d'invite de commande ouverte devant un arrière-plan numérique, avec un code malveillant en cours de saisie. Il s'agit de la phase au cours de laquelle les attaquants exécutent leur charge utile malveillante dans le système compromis.

Le ransomware basé sur Rust chiffre les fichiers à l'aide du chiffrement ChaCha20, ajoute l'extension ".funksec" et laisse tomber une note de rançon.

Série de fichiers acheminés par un canal secret depuis un ordinateur vers un site cloud marqué d'une tête de mort, symbolisant le transfert non autorisé de données vers un lieu contrôlé par l'attaquant.

Les données volées sont téléchargées sur le site dark web de FunkSec, où elles sont soit rendues publiques, soit vendues à des tiers.

Un écran fissuré avec derrière lui un paysage urbain numérique en plein chaos, symbolisant l'impact destructeur de la cyberattaque, tel que l'interruption de service, la destruction de données ou la perte financière.

Le ransomware supprime les copies d'ombre, perturbe les opérations en mettant fin aux processus et modifie les paramètres du système (par exemple, en noircissant l'arrière-plan du bureau).

Une figure ombrageuse jetant un large filet sur un paysage numérique rempli de divers appareils tels que des ordinateurs, des smartphones et des tablettes. Le filet symbolise les tentatives de l'attaquant de trouver des vulnérabilités ou d'utiliser des techniques phishing pour obtenir un accès non autorisé.
Accès Initial

FunkSec obtient l'accès par le biais de courriels d'phishing , le bourrage d'informations d'identification et l'exploitation de vulnérabilités non corrigées dans les systèmes exposés. Ils s'appuient également sur des informations d'identification volées sur des forums du dark web.

Une échelle numérique s'étendant vers le haut à partir d'une icône d'utilisateur de base vers une couronne symbolisant les privilèges administratifs. Cela représente les efforts de l'attaquant pour obtenir un accès de plus haut niveau au système.
Élévation de privilèges

Le groupe tente d'élever les privilèges en utilisant des techniques de vol d'informations d'identification, de manipulation de jetons et d'exploitation de mauvaises configurations dans les environnements Windows.

Un caméléon qui se fond dans un arrière-plan numérique, avec des zéros et des uns qui circulent autour de lui. Cela représente la capacité de l'attaquant à éviter d'être détecté par les mesures de sécurité, en changeant de tactique pour se fondre dans le trafic normal du réseau.
Défense Evasion

FunkSec désactive Windows Defender, la journalisation des événements et les fonctions de sécurité PowerShell pour éviter d'être détecté. Son ransomware est compilé en Rust, ce qui peut rendre l'analyse et la détection plus difficiles.

Un voleur muni d'une trousse de crochetage travaille sur un trou de serrure géant en forme de formulaire de connexion, représentant les efforts de l'attaquant pour voler les informations d'identification de l'utilisateur afin d'obtenir un accès non autorisé.
Accès aux identifiants

Ils déploient des enregistreurs de frappe et des outils de récupération de mots de passe tels que funkgenerate, qui recueille des informations d'identification à partir de systèmes et de sites web compromis.

Une loupe se déplaçant sur une carte numérique d'un réseau, mettant en évidence les fichiers, les dossiers et les connexions réseau. Cette image représente la phase où les attaquants explorent l'environnement pour en comprendre la structure et savoir où se trouvent les données importantes.
Découverte

FunkSec analyse les réseaux infectés pour localiser les fichiers précieux et déterminer les actifs les plus critiques à chiffrer.

Une série de nœuds interconnectés avec une silhouette se déplaçant furtivement entre eux. Cela illustre les mouvements de l'attaquant au sein du réseau, cherchant à prendre le contrôle d'autres systèmes ou à propager malware.
Mouvement latéral

Ils utilisent des outils HVNC (hidden virtual network computing) et des exploits de bureau à distance pour se déplacer sur des réseaux compromis.

Un grand aspirateur qui aspire des fichiers, des icônes de données et des dossiers dans un sac tenu par une personne de l'ombre. Cette image symbolise le processus de collecte de données précieuses sur le réseau cible.
Collection

Le groupe exfiltre des fichiers sensibles à l'aide de scripts Python personnalisés et d'outils standard tels que Rclone avant de chiffrer les données de la victime.

Une fenêtre d'invite de commande ouverte devant un arrière-plan numérique, avec un code malveillant en cours de saisie. Il s'agit de la phase au cours de laquelle les attaquants exécutent leur charge utile malveillante dans le système compromis.
Exécution

Le ransomware basé sur Rust chiffre les fichiers à l'aide du chiffrement ChaCha20, ajoute l'extension ".funksec" et laisse tomber une note de rançon.

Série de fichiers acheminés par un canal secret depuis un ordinateur vers un site cloud marqué d'une tête de mort, symbolisant le transfert non autorisé de données vers un lieu contrôlé par l'attaquant.
Exfiltration

Les données volées sont téléchargées sur le site dark web de FunkSec, où elles sont soit rendues publiques, soit vendues à des tiers.

Un écran fissuré avec derrière lui un paysage urbain numérique en plein chaos, symbolisant l'impact destructeur de la cyberattaque, tel que l'interruption de service, la destruction de données ou la perte financière.
Impact

Le ransomware supprime les copies d'ombre, perturbe les opérations en mettant fin aux processus et modifie les paramètres du système (par exemple, en noircissant l'arrière-plan du bureau).

MITRE ATT&CK Mapping

Les TTP de FunkSec

TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
TA0002: Execution
T1204
User Execution
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
T1134
Access Token Manipulation
T1068
Exploitation for Privilege Escalation
TA0005: Defense Evasion
T1134
Access Token Manipulation
T1070
Indicator Removal
T1562
Impair Defenses
TA0006: Credential Access
T1110
Brute Force
T1003
OS Credential Dumping
TA0007: Discovery
T1082
System Information Discovery
T1046
Network Service Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
TA0040: Impact
T1490
Inhibit System Recovery
T1486
Data Encrypted for Impact
Détections de la plate-forme

Comment détecter FunkSec avec Vectra AI?

Ransomware File Activity

Suspicious Port Scan

Suspicious Remote Desktop Protocol

Voir plus de détections
Évaluez votre exposition aux attaques

Foire aux questions

Votre organisation est-elle à l'abri de FunkSec ?

Évaluez votre exposition aux attaques