El panorama del cibercrimen está evolucionando rápidamente, y el grupo de ransomware FunkSec es un claro ejemplo de esta transformación. Según los expertos de Kaspersky, FunkSec se ha convertido en una amenaza particularmente preocupante gracias a su compleja arquitectura técnica y su desarrollo asistido por Inteligencia Artificial (IA).
A diferencia de los grupos tradicionales de ransomware que buscan rescates millonarios, FunkSec emplea un modelo de alta frecuencia y bajo costo, exigiendo pagos de rescate tan bajos como $10,000 y vendiendo los datos robados a terceros a precios reducidos. Esta estrategia parece diseñada para permitir un gran volumen de ataques, lo que ayuda al grupo a consolidar rápidamente su reputación en el mundo clandestino del cibercrimen.
Funcionalidad controlada por contraseña
El ransomware de FunkSec cuenta con un mecanismo singular basado en contraseñas que controla sus modos de operación. Sin contraseña, el malware realiza un cifrado básico de archivos, mientras que al proporcionarle una contraseña se activa un proceso más agresivo de exfiltración de datos, además del cifrado, para robar información confidencial.
Desarrollo asistido por IA
El análisis de código muestra que FunkSec utiliza activamente Inteligencia Artificial generativa para crear sus herramientas. Muchas partes del código parecen generarse automáticamente, con señales como comentarios genéricos de marcadores de posición e inconsistencias técnicas. Esto refleja cómo los grandes modelos de lenguaje combinan múltiples fragmentos de código sin eliminar elementos redundantes.
Expansión más allá del ransomware
FunkSec ha ampliado sus capacidades más allá del binario de ransomware. Su sitio de filtraciones oscuras alberga herramientas adicionales, como un generador de contraseñas y una herramienta DDoS básica, que muestran claros indicios de síntesis de código mediante modelos de lenguaje grandes (LLMs).
Evasión avanzada
FunkSec emplea técnicas avanzadas de evasión para evitar la detección y dificultar el análisis forense. El ransomware es capaz de detener más de 50 procesos y servicios para garantizar el cifrado completo de los archivos objetivo. Además, incluye un mecanismo de respaldo para ejecutar ciertas órdenes incluso si el usuario que inicia FunkSec no tiene los privilegios suficientes.
Protección contra FunkSec y otros ataques de ransomware
Para mantenerse protegidos, los expertos de Kaspersky recomiendan a las organizaciones:
- Concentrar la estrategia de defensa en detectar movimientos laterales y la exfiltración de datos a Internet.
- Mantener el software siempre actualizado para evitar que los atacantes exploten vulnerabilidades.
- Activar la protección contra ransomware en todas las terminales.
- Instalar soluciones anti-APT y EDR que permitan la detección y el descubrimiento avanzados de amenazas.
- Utilizar la Inteligencia de Amenazas más reciente para mantenerse al tanto de las tácticas, técnicas y procedimientos (TTP) de los ciberdelincuentes.
En un panorama en constante evolución, grupos como FunkSec representan el futuro del cibercrimen masivo. Mantenerse informado y adoptar las mejores prácticas de ciberseguridad es clave para proteger a las organizaciones de estas amenazas cada vez más sofisticadas.
