FunkSec, el ransomware que baila al ritmo de la IA
- Actualidad
Kaspersky detalla en su evento Horizons los detalles de este nuevo grupo de ransomware, activo desde finales de 2024, que destaca por la profusa utilización de la inteligencia artificial, por su completo pack que incluye secuestro de datos y exfiltración y por un ‘modelo de negocio’ que le ha permitido ganar rápidamente cuota de mercado.
La sesión más destacada de la interesante jornada Kaspersky Horizons corrió a cargo de Marc Rivero, Lead Security Researcher en el equipo Global de Investigación y Análisis (GReAT) de la compañía. Su presentación “Kaspersky Threat Announcement: A new era of ransomware - when AI becomes the weapon of blackmailers” se centró en un nuevo grupo de Ransomware as a Service con un Amplio uso de la inteligencia artificial.
Se trata de FunkSec, que inició su actividad a finales del 2024 y por el momento se ha dirigido en particular a los sectores gubernamental, tecnológico, financiero y educativo y en dos regiones: Europa y Asia. La estrategia que han seguido los creadores de esta plataforma de Ransomware as a Service les ha permitido “superar rápidamente a actores más consolidados” en los pocos meses que lleva activo.
El malware se ha creado con el apoyo de la IA, lo que ha permitido la creación más rápida de componentes modulares, además de ayudar a los ciberdelincuentes en las pruebas de ofuscación, en la descarga de la carga maliciosa y en la lógica de evasión de servicios. También utiliza la IA para la selección de los procesos de alto valor que detiene y para la identificación dinámica de los servicios como backup o bases de datos.
Un bundle de secuestro y exfiltración de datos
FunkSec integra “un cifrado a gran escala y una exfiltración agresiva de datos en un único ejecutable basado en lenguaje Rust, capaz de desactivar más de 50 procesos en los equipos infectados”. La función de exfiltración de los datos es una novedad: normalmente no lo hace el propio RaaS. Además, se trata de una especie de servicio premium, en principio protegido por contraseña.
Loa afiliados que quieran el todo en uno, tendrán que pagar para que les den la contraseña correspondiente. Rivero también explicó que, respecto a su modelo de negocio, cualquiera puede convertirse en afiliado, ya sea de forma independiente o, en una segunda fase, como afiliado de pleno derecho de FunkSec. Kaspersky lo define como “un modelo de alta frecuencia y bajo coste”, con solicitudes de rescate modestas, que veces no llegan a los 10.000 dólares.
FunkSec es un ejemplo de lo que se puede conseguir con IA en la creación de ciberamenazas. Marc Rivero explica que “cada vez vemos más ciberdelincuentes que aprovechan la IA para desarrollar herramientas maliciosas. La IA generativa reduce las barreras de entrada y acelera la creación de malware, lo que permite a los ciberdelincuentes adaptar sus tácticas con rapidez. Al facilitar el acceso, incluso atacantes con poca experiencia pueden desarrollar malware sofisticado a gran escala”.
