Clik here to view.
KDdesign_photo_video – Shutterstock.com
Bedrohungsanalysen der Sicherheitsfirma NCC Group von Dezember 2024 zeigen, dass ein Neuling in der Ransomware-as-a-Service (RaaS)-Landschaft schnell aufstieg. Demnach war die Gruppe Funksec in dem Monat für 103 von 578 Angriffen verantwortlich. Damit gelangte die Ransomware-Bande an die Spitze. Mit 18 Prozent lag die Angriffsrate höher als bei vielen etablierteren Gruppen wie CL0P, Akira und RansomHub.
Forscher des Security-Anbieters Check Point gehen jedoch davon aus, dass die Akteure dahinter nicht sehr erfahren in der Entwicklung von Malware sind und ihre Karriere als Cyberkriminelle im Hacktivismus begonnen haben. Dies könne man auch in den anderen Tools von Funksec immer noch erkennen.
„Unsere Ergebnisse zeigen überraschenderweise, dass die Entwicklung der Tools der Gruppe, einschließlich des Verschlüsselungswerkzeugs, wahrscheinlich KI-gestützt war, was trotz des offensichtlichen Mangels an technischem Fachwissen der Autoren zu ihrer schnellen Iteration beigetragen haben könnte“, so die Forscher in einem Bericht.
Funksec im Vergleich mit anderen Ransomware-Gruppen
Funksec ist eine RaaS-Operation, die durch Dateiverschlüsselung und -diebstahl doppelte Erpressung betreibt. Als die Gruppe anfing, auf einer Website erfolgreich ausgenutzte Datenlecks aufzuzeigen, wurden sofort 85 Opfer aufgelistet. Check Point führt diesen plötzlichen Anstieg und die große Zahl der Opfer darauf zurück, dass zumindest einige der Opfer aus früheren hacktivistischen Aktivitäten stammen.
Ein weiterer Aspekt, der Funksec von anderen Gruppen unterscheidet, ist, dass die Lösegeldforderungen nur 10.000 Dollar betragen und die Gruppe auch Daten zu relativ niedrigen Preisen verkauft. Dies deutet darauf hin, dass die Gruppe bei der Auswahl ihrer Ziele eher auf Quantität als auf Qualität setzt.
Funksec verwendet ein maßgeschneidertes Ransomware-Programm
Das von Funksec verwendete Ransomware-Programm ist in Rust geschrieben und wurde von seinem Schöpfer erstmals in den mehrstufigen Malware-Scandienst VirusTotal hochgeladen, um mit seiner niedrigen Erkennungsrate zu prahlen. Dies ermöglichte es den Forschern, mehrere Varianten des Programms zu finden und zu analysieren. Alle wurden von Algerien aus auf VirusTotal hochgeladen.
Einige der Versionen enthielten eine Lösegeldforderung, in der die Gruppe als Funksec identifiziert wurde. Zusätzlich gab es auch eine alternative Lösegeldforderung, in der der Angriff einer Gruppe namens Ghost Algeria zugeschrieben wurde. Der Autor hat außerdem die Kompilierungsvariablen nicht entfernt, wodurch ein Pfad namens C:\Users\Abdellah\ im Quellcode sichtbar wurde.
Das Ransomware-Programm versucht, mithilfe bekannter Techniken für PowerShell-Skripte erweiterte Berechtigungen zu erlangen. Anschließend wird der Echtzeitschutzdienst von Windows Defender deaktiviert, die Sicherheitsereignisprotokollierung auf dem System und die Anwendungsprotokollierung entfernen Einschränkungen für die Ausführung von PowerShell und löschen schließlich die Kopien, um eine Systemwiederherstellung zu verhindern.
Im Nachgang versucht das Malware-Programm, eine lange Liste von Prozessen zu beenden, die mit einer Vielzahl von Programmen verbunden sind, darunter Browser, Videoplayer, Messaging-Anwendungen und Windows-Dienste. Dadurch wird sichergestellt, dass der Zugriff auf potenziell wichtige Dateien, die anschließend verschlüsselt werden, nicht durch diese Anwendungen gesperrt wird.
Malware verbreitet sich über alle Laufwerke
Die Ransomware durchforstet das komplette Laufwerk und verschlüsselt alle Dateien mit einer Liste von Zielerweiterungen. Verschlüsselte Dateien haben die Erweiterung .funksec angehängt.
Laut den Forschern von Check Point verwendet der Malware-Code, der vom Autor auf VirusTotal hochgeladen wurde, viele redundante Aufruffunktionen und einen sich wiederholenden Kontrollfluss. Der Code enthält auch Kommentare in perfektem Englisch, was darauf hindeutet, dass der Autor bei der Erstellung wahrscheinlich die Hilfe eines großen Sprachmodells (LLM) in Anspruch genommen hat.
Dies zeigt sich auch in einigen der anderen Tools, die Funksec zum Verkauf anbietet, wie zum Beispiel ein in Python geschriebenes DDoS-Skript für UDP- und HTTP-Floods, ein HVNC-Server und -Client für die Fernverwaltung und ein Tool zum Auslesen von Passwörtern für E-Mails und URLs.
Einige der Tools und Leaks der Gruppe enthalten Hinweise auf zwei andere Gruppen namens Ghost Algeria und Cyb3r Fl00d. Die Gruppe bekennt sich auch öffentlich zur „Free Palestine“-Bewegung und erklärte, die USA seien aufgrund ihrer Unterstützung für Israel ein Hauptziel.
„Alle unsere Angriffe mit dem neuen Ransomware-Programm werden sich gegen Amerika richten und den Regierungssektor, die Wirtschaft und Unternehmen, die für den Staat exportieren und produzieren, ins Visier nehmen“, heißt es in einem ihrer Beiträge.
Hintergrund zu Funksec
In Foren für Cyberkriminelle gibt es mehrere Akteure, die mit Funksec in Verbindung stehen, da es sich um einen Ransomware-as-a-Service-Betrieb handelt. Der Hauptadministrator und Promoter von Funksec ist ein Benutzer mit den Identitäten Scorpion und DesertStorm. Während ihr YouTube-Profil ihr Land als Russland angibt, haben sie in einigen Screenshots versehentlich ihren Standort als Algerien und das Tastaturlayout als französisch ausgewählt.
DesertStorm wurde im November aus einem bekannten Forum für Cyberkriminelle verbannt, aber ein anderer Benutzer namens El_farado bewarb Funksec weiterhin. Ein weiterer Benutzer, der mit dem Datensortierungsdienst der Gruppe in Verbindung steht, ist XTN.
Der kometenhafte Aufstieg von Funksec an die Spitze der Ransomware-Statistiken, trotz eines offensichtlichen Mangels an Erfahrung, beweist, dass LLMs die Qualifikationsbarriere für Bedrohungsakteure senken. (jm)