Boletín de ciberataques: Defensa contra el ransomware Codefinger en AWS S3 >

Boletín de ciberataques: Defensa contra el ransomware Codefinger en AWS S3 >

Vectra AI Japón、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icono de hamburguesa línea superior
Icono de hamburguesa línea media
Icono de hamburguesa línea inferior
cybercriminels
>
Grupo de ransomware

FunkSec

FunkSec representa una nueva oleada de grupos de ransomware asistidos por IA, que mezclan la ciberdelincuencia con el hacktivismo. Aunque su sofisticación técnica es cuestionable, sus tácticas y su visibilidad pública los convierten en una amenaza notable. Los equipos de seguridad deben vigilar las tendencias malware basado en IA y prepararse para los ataques de ransomware que utilizan tácticas de automatización y engaño.

Detectar TTPs de FunkSec
¿Está su organización a salvo de FunkSec?
Fondo
Objetivos
TTPs
Detección
Preguntas frecuentes
Ver sesión informativa sobre amenazas

Historial de FunkSec

FunkSec es un grupo de ransomware que surgió a finales de 2024, ganando notoriedad rápidamente por su elevado número de víctimas declaradas públicamente. A diferencia de otras bandas de ransomware establecidas, FunkSec parece ser una operación relativamente nueva e independiente, sin vínculos conocidos con familias de ransomware anteriores. El grupo utiliza tácticas de doble extorsión, combinando el cifrado de datos con el robo de datos para presionar a las víctimas a pagar rescates.

Una característica clave de FunkSec es su desarrollo de malware asistido por IA, que permite incluso a los actores sin experiencia crear e iterar rápidamente herramientas maliciosas. El grupo parece operar en la intersección del hacktivismo y la ciberdelincuencia, lo que hace difícil determinar sus verdaderas motivaciones. Se ha descubierto que algunos de los conjuntos de datos filtrados son reciclados de campañas hacktivistas anteriores, lo que pone en duda la autenticidad de sus revelaciones.

Aunque FunkSec se presenta como una sofisticada operación de ransomware como servicio (RaaS), los investigadores de seguridad han identificado múltiples indicios que indican que los conocimientos técnicos del grupo son limitados. La mayoría de sus actividades parecen estar impulsadas por un deseo de notoriedad más que de beneficios económicos, como demuestran sus bajas peticiones de rescate y sus esfuerzos de promoción pública en foros de ciberdelincuencia.

Fuente: Checkpoint

Historial de FunkSec
Objetivos

Objetivos de FunkSec

Países destinatarios

La mayoría de las víctimas declaradas por FunkSec proceden de la India y Estados Unidos, y otros ataques se han dirigido a organizaciones europeas y de Oriente Próximo. Su alineación con el movimiento "Free Palestine " sugiere una posible motivación geopolítica, aunque puede que se trate más de imagen de marca que de intenciones políticas reales.

Industrias destinatarias

FunkSec no parece centrarse en un único sector, sino que ha atacado instituciones gubernamentales, sanidad, servicios financieros y empresas tecnológicas. El modelo de ransomware como servicio (RaaS) del grupo permite que varios afiliados utilicen sus herramientas, lo que amplía el alcance de sus víctimas potenciales. Algunos sectores atacados coinciden con los motivos de los hacktivistas, en particular las agencias gubernamentales y las infraestructuras.

Fuente de la imagen: PCrisk

Industrias destinatarias

FunkSec no parece centrarse en un único sector, sino que ha atacado instituciones gubernamentales, sanidad, servicios financieros y empresas tecnológicas. El modelo de ransomware como servicio (RaaS) del grupo permite que varios afiliados utilicen sus herramientas, lo que amplía el alcance de sus víctimas potenciales. Algunos sectores atacados coinciden con los motivos de los hacktivistas, en particular las agencias gubernamentales y las infraestructuras.

Fuente de la imagen: PCrisk

Víctimas notables

Se calcula que 138 organizaciones han sido víctimas de ataques FunkSec.

Método de ataque

Método de ataque de FunkSec

Acceso inicial
Escalada de privilegios
Defensa Evasión
Acceso con credenciales
Descubrimiento
Movimiento lateral
Colección
Ejecución
Exfiltración
Impacto
Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.

FunkSec obtiene acceso a través de correos electrónicosphishing , relleno de credenciales y explotación de vulnerabilidades no parcheadas en sistemas expuestos. También aprovechan credenciales robadas encontradas en foros de la web oscura.

Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.

El grupo intenta escalar privilegios utilizando técnicas de robo de credenciales, manipulación de tokens y explotando errores de configuración en entornos Windows.

Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.

FunkSec desactiva Windows Defender, el registro de eventos y las funciones de seguridad de PowerShell para evitar su detección. Su ransomware está compilado en Rust, lo que puede dificultar su análisis y detección.

Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.

Despliegan keyloggers y herramientas de extracción de contraseñas como funkgenerate, que recopila credenciales de sistemas y sitios web comprometidos.

Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.

FunkSec escanea las redes infectadas para localizar archivos valiosos y determinar los activos más críticos que hay que cifrar.

Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.

Utilizan herramientas HVNC (computación en red virtual oculta) y exploits de escritorio remoto para desplazarse por redes comprometidas.

Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.

El grupo extrae archivos confidenciales utilizando scripts Python personalizados y herramientas estándar como Rclone antes de cifrar los datos de la víctima.

Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.

El ransomware basado en Rust cifra los archivos utilizando el cifrado ChaCha20, añade la extensión ".funksec" y deja caer una nota de rescate.

Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.

Los datos robados se suben al sitio de filtraciones de FunkSec en la web oscura, donde se hacen públicos o se venden a terceros.

Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.

El ransomware elimina las instantáneas, interrumpe las operaciones terminando procesos y cambia la configuración del sistema (por ejemplo, oscureciendo el fondo del escritorio).

Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.
Acceso inicial

FunkSec obtiene acceso a través de correos electrónicosphishing , relleno de credenciales y explotación de vulnerabilidades no parcheadas en sistemas expuestos. También aprovechan credenciales robadas encontradas en foros de la web oscura.

Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.
Escalada de privilegios

El grupo intenta escalar privilegios utilizando técnicas de robo de credenciales, manipulación de tokens y explotando errores de configuración en entornos Windows.

Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.
Defensa Evasión

FunkSec desactiva Windows Defender, el registro de eventos y las funciones de seguridad de PowerShell para evitar su detección. Su ransomware está compilado en Rust, lo que puede dificultar su análisis y detección.

Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.
Acceso con credenciales

Despliegan keyloggers y herramientas de extracción de contraseñas como funkgenerate, que recopila credenciales de sistemas y sitios web comprometidos.

Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.
Descubrimiento

FunkSec escanea las redes infectadas para localizar archivos valiosos y determinar los activos más críticos que hay que cifrar.

Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.
Movimiento lateral

Utilizan herramientas HVNC (computación en red virtual oculta) y exploits de escritorio remoto para desplazarse por redes comprometidas.

Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.
Colección

El grupo extrae archivos confidenciales utilizando scripts Python personalizados y herramientas estándar como Rclone antes de cifrar los datos de la víctima.

Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.
Ejecución

El ransomware basado en Rust cifra los archivos utilizando el cifrado ChaCha20, añade la extensión ".funksec" y deja caer una nota de rescate.

Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.
Exfiltración

Los datos robados se suben al sitio de filtraciones de FunkSec en la web oscura, donde se hacen públicos o se venden a terceros.

Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.
Impacto

El ransomware elimina las instantáneas, interrumpe las operaciones terminando procesos y cambia la configuración del sistema (por ejemplo, oscureciendo el fondo del escritorio).

MITRE ATT&CK Cartografía

TTPs de FunkSec

TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
TA0002: Execution
T1204
User Execution
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
T1134
Access Token Manipulation
T1068
Exploitation for Privilege Escalation
TA0005: Defense Evasion
T1134
Access Token Manipulation
T1070
Indicator Removal
T1562
Impair Defenses
TA0006: Credential Access
T1110
Brute Force
T1003
OS Credential Dumping
TA0007: Discovery
T1082
System Information Discovery
T1046
Network Service Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
TA0040: Impact
T1490
Inhibit System Recovery
T1486
Data Encrypted for Impact
Detección de plataformas

Cómo detectar FunkSec con Vectra AI

Ransomware File Activity

Suspicious Port Scan

Suspicious Remote Desktop Protocol

Ver más detecciones
Evalúe su exposición a los ataques

Preguntas frecuentes

¿Está su organización a salvo de FunkSec?

Evalúe su exposición a los ataques