FunkSec koristi AI ucjenjivački softver

Prema sigurnosnoj kompaniji Check Point Research (CPR), FunkSec grupa zlonamjernih aktera koja koristi ucjenjivački softver (eng. ransomware) je samo u decembru 2024. godine sebi pripisala preko 85 žrtava, nadmašivši svaku drugu grupu koja koristi ucjenjivački softver tog mjeseca. Ono što izdvaja FunkSec grupa zlonamjernih aktera je njen razvoj zlonamjernog softvera uz pomoć vještačke inteligencije (eng. artificial intelligence – AI), omogućavajući čak i niskokvalifikovanim operaterima da kreiraju sofisticirane alate.

FunkSec

FunkSec koristi AI ucjenjivački softver; Source: Bing Image Creator

FUNKSEC GRUPA

Grupa je dobila ime po svojoj verziji ucjenjivačkog softvera FunkSec V1 i povezana je sa raznim zlonamjernim aktivnostima, uključujući razvoj sofisticiranog ucjenjivačkog zlonamjernog softvera i alata koji se obično povezuju sa haktivističkim aktivnostima kao što su distribuirani napadi uskraćivanja usluge (eng. distributed denial-of-service – DDoS), upravljanje udaljenom radnom površinom i sakupljanje podataka.

Grupa se predstavlja kao operacija ucjenjivačkog softvera kao usluge (eng. Ransomware-as-a-Service – RaaS) bez poznatih veza sa prethodno identifikovanim grupama koje koriste ucjenjivački softver. Ona koristi taktiku dvostruke iznude, kombinujući krađu podataka sa šifrovanjem kako bi izvršila pritisak na žrtve da plate otkup, taktiku koju koriste i druge grupe ucjenjivačkog softvera, ali je FunkSec koristi agresivnije i efikasnije.

Povezivanje grupe sa ugašenim haktivističkim grupama kao što su Ghost Algéria i Cyb3r Fl00d dodaje još jedan sloj složenosti njihovim operacijama. Iako autentičnost ovih veza ostaje neprovjerena, jasno je da FunkSec grupa ima istoriju recikliranja podataka iz prethodnih kampanja haktivizma. Ova praksa izaziva sumnju u vjerodostojnost njihovog otkrivanja i komplikuje napore da se precizno procjene sposobnosti i uticaj grupe.

FunkSec grupa poznata je po svom agresivnom stavu protiv zemalja koje podržavaju Izrael. Njena primarna meta su Sjedinjene Američke Države, izbor vođen političkim motivima koji proizilaze iz podrške te zemlje Izraelu. Međutim, njihov domet se proteže daleko izvan granica Sjedinjenih Američkih Država, o čemu svjedoči 85 žrtava u različitim zemljama kao što su Indija, Italija, Brazil, Izrael, Španija, Mongolija i druge. Haktivistički korijeni grupe sugerišu usklađivanje sa određenim političkim pokretima, što bi im potencijalno moglo pružiti dodatne resurse i podršku. Ovo je zabrinjavajući razvoj događaja, jer ukazuje na to da ideološki vođene grupe sve više koriste sajber kriminal da bi unaprijedile svoje ciljeve.

 

Uloga vještačke inteligencije (AI)

Jedan od najupečatljivijih aspekata FunkSec grupe je njihova upotreba napredne tehnologije. Primarna fokus grupe je prilagođeni ucjenjivači softver, sofisticirani komad zlonamjernog softvera koji je privukao pažnju zahvaljujući razvoju uz pomoć vještačke inteligencije (AI). Tehnička analiza otkriva redundantnost u funkcijama ucjenjivačkog softvera, sa pozivima upućenim više puta sa različitih putanja izvršenja gdje bi se obično pozivali jednom. Ova neobična struktura sugeriše pokušaj FunkSec grupe da učini svoj ucjenjivački softver otpornijim i težim da se protiv njega primjene mjere zaštite.

Pored toga, kôd FunkSec grupe pokazuje znake pomoći vještačke inteligencije (AI), o čemu svjedoči prilagođeni četbot fokusiran na zlonamjerne aktivnosti kreiran preko Miniapps platforme za ćaskanje. Ovaj alat sa vještačkom inteligencijom (AI) pomaže niskokvalifikovanim operaterima da efikasnije kreiraju i izvršavaju svoje zlonamjerne aktivnosti. Štaviše, poznato je da na svojoj internet lokaciji objavljuju sažetke svojih mogućnosti ucjenjivačkog softvera koje je generisao ChatGPT, što sugeriše integraciju vještačke inteligencije (AI) u njihove operacije izvan samih alata koje koriste.

 

Ucjenjivački softver

FunkSec operateri aktivno nude svoj prilagođeni ucjenjivački softver, sa novim verzijama koje se pojavljuju velikom brzinom. Među ovim iteracijama, FunkSec V1 i FunkSec V1.5 se ističu zbog svojih jedinstvenih karakteristika i uticaja.

Originalna verzija, FunkSec V1, prvi put je uvedena u digitalni prostor sa mnogo pompe. Brzo je stekla slavu zbog svojih naprednih mogućnosti i niske stope otkrivanja od strane antivirusnih usluga. Međutim, FunkSec V1.5 je bio taj koji je zaista skrenuo pažnju, jer je imao čak nižu stopu detekcije od svog prethodnika. To omogućava ovim varijantama ucjenjivačkog softvera da neotkriveno prođu kroz antivirusnu odbranu, što ih čini veoma efikasnim alatima za zlonamjerne aktere. U najavi za FunkSec V1.5, operateri su podijelili snimak ekrana VirusTotal platforme koji pokazuje da su samo tri antivirusne usluge otkrile njihov kôda kao zlonamjeran u vreme objavljivanja.

Ovaj trend postavlja pitanja o tome kako su ove varijante ucjenjivačkog softvera u stanju da izbjegnu otkrivanje i koje mjere se mogu preduzeti da bi se poboljšala odbrana od njih. To takođe potvrđuje sumnje da je FunkSec možda postavljao sopstvene uzorke na VirusTotal platformu, kao što sugeriše snimak ekrana koji je podijeljen u njihovoj objavi.

 

Tehnička analiza

Tehnička analiza FunkSec ucjenjivačkog softvera pruža sveobuhvatno razumijevanje njegove strukture, procesa razvoja i jedinstvenih karakteristika koje ga izdvajaju od drugog zlonamjernog softvera. Ova analiza je zasnovana na ispitivanju različitih verzija ucjenjivačkog softvera, što ukazuje na stalne napore u razvoju ove prijetnje koje je vjerovatno izvršio neiskusni autor.

Većina ovih verzija je pronađena u Alžiru, što sugeriše da je programer možda odatle ili da radi unutar njegovih granica. Ova pretpostavka je dodatno podržana prisustvom dvije varijante bilješki o otkupnini pronađene tokom analize: jedna koja se odnosi na FunkSec i druga koja pominje Ghost Algeria. Oba imena nagovještavaju vezu između autora i Alžira. Intrigantno je da je programer takođe otpremio dijelove izvornog kôda zlonamjernog softvera na VirusTotal platformu 15. decembra sa lokacije u Alžiru.

Nakon detaljnijeg ispitivanja, otkriveno je da postoji visok stepen redundancije u FunkSec kôdu. Funkcije se pozivaju više puta sa različitih putanja izvršenja gdje bi se obično pozvale jednom u tipičnom ucjenjivačkom softveru. Ovo potencijalno može ukazivati na neiskusnog autora, pokušaj da se ucjenjivački softver otpornijim ili ubrzan razvojni proces.

Jedan značajan aspekt procesa šifrovanja zlonamjernog softvera uključuje upotrebu efemernih ključeva generisanih kroz tanki omot CryptGenRandom i SystemFunction036. Ovi ključevi dobijaju ekstenziju “.funksec” nakon kreiranja koristeći Rust format! macro. Ovaj prilagođeni pristup generisanju ključeva dodaje još jedan sloj složenosti FunkSec procesu šifrovanja, što ga čini izazovnijim za obrnuti inženjering ili razbijanje kôda. Sam ucjenjivački softver šifruje datoteke koristeći kombinaciju simetričnih (AES-256) i asimetričnih metoda šifrovanja, što otežava žrtvama da oporave svoje podatke bez plaćanja tražene otkupnine ili vraćanja iz rezervnih izvora.

 

Dodatni alati

FunkSec grupa je pokazala svestran arsenal alata koji su joj na raspolaganju. Među ovim alatima je nekoliko uslužnih programa dizajniranih za zlonamjerne svrhe koje prevazilaze primarnu funkciju njihovog prilagođenog ucjenjivačkog softvera.

Jedan takav alat je Python bazirani uslužni program za distribuirano uskraćivanje usluge (DDoS) za napade, koji koristi HTTP ili UDP flood metode da cilja ranjive sisteme neselektivno i ometa njihove operacije. Ovaj DDoS alat služi kao pomoćno oružje u FunkSec arsenalu, omogućavajući im da prošire svoj domet i uticaj na ciljane mreže. Korištenjem ovog alata, FunkSec grupa može da stvori haos i konfuziju unutar mreže, otežavajući žrtvama da efikasno odgovore na sam napad ucjenjivačkog softvera.

Još jedan uslužni program koji je razvila FunkSec grupa je funkgenerate, alatka za generisanje lozinki i sakupljanje koja se može zlonamjerno koristiti na različite načine kao što su napadi popunjavanja akreditiva (eng. credential stuffing) ili phishing kampanje. Generisanjem i prikupljanjem akreditiva, zlonamjerni akteri mogu dobiti neovlašteni pristup nalozima žrtava i potencijalno ukrasti osjetljive informacije. Ovaj alat omogućava FunkSec grupi da proširi svoj domet izvan direktnih napada ucjenjivačkog softvera iskorištavanjem slabih lozinki i kompromitovanih naloga na različitim mrežama.

Na kraju, JQRAXY_HVNC je alatka za upravljanje udaljenom radnom površinom koja omogućava zlonamjernom akteru da daljinski pristupi kompromitovanim sistemima bez ovlaštenja. Kada jednom preuzme kontrolu nad ovim sistemima, zlonamjerni akter može da izvršava komande po svojoj volji, unapređujući svoje ciljeve unutar ciljane mreže. Ova alatka omogućava FunkSec grupi da održi postojanost i nastavi svoje aktivnosti čak i nakon početnog kompromitovanja ili primjene ucjenjivačkog softvera.

Upotreba ovakvih alata od strane FunkSec grupe naglašava prilagodljivost grupe u primjeni različitih taktika za postizanje svojih ciljeva. Koristeći ove uslužne programe, FunkSec grupa može stvoriti značajniji uticaj na ciljane mreže, dok istovremeno otežava žrtvama da se efikasno brane od njihovih napada. Razvoj i primjena ovih alata takođe pokazuje da čak i akteri sa malo vještine mogu da iskoriste pristupačne alate kako bi napravili veoma veliki problem u digitalnom prostoru.

 

Uticaj

Uspon FunkSec grupa odražava promjenjivost digitalnog prostora, gdje čak i niskokvalifikovani zlonamjerni akteri mogu da iskoriste pristupačne alate kako bi napravili značajne probleme. Navodna upotreba vještačke inteligencije (AI) u razvoju zlonamjernog softvera od strane grupe je posebno zabrinjavajuća, jer omogućava stvaranje i usavršavanje naprednih alata za sajber napade. Ovaj trend bi mogao dovesti do porasta napada ucjenjivačkog softvera, jer sve više pojedinaca sa minimalnim tehničkim vještinama dobija pristup moćnim metodama napada.

Preklapanje između haktivizma i sajber kriminala je još jedan aspekt koji komplikuje napore da se procjeni nivo prijetnje FunkSec grupe. Grupa se pridružuje pokretu “Slobodne Palestine” i cilja na Sjedinjene Američke Države, Indiju, Italiju, Brazil, Izrael, Španiju, Mongoliju i druge zemlje, uz naznake povezanosti sa ugašenim haktivističkim grupama kao što su Ghost Algéria i Cyb3r Fl00d. Ovo udruženje sugeriše da FunkSec grupa možda ima političke motive ili da koristi napade ucjenjivačkog softvera kao sredstvo za unapređenje svoje ideološke agende.

Izazovi u verifikaciji procurjelih podataka takođe predstavljaju značajne probleme za organizacije koje pokušavaju da se zaštite od aktivnosti FunkSec grupe. Recikliranje skupova podataka iz prethodnih haktivističkih kampanja izaziva sumnje u autentičnost i uspeh njihovih operacija, što otežava žrtvama da utvrde da li su zaista u opasnosti. Ova neizvesnost može dovesti do paralize u procesima donošenja odluka, jer organizacije mogu oklijevati da preduzmu akciju zbog nedostatka jasnih dokaza ili razumijevanja nivoa prijetnje koju predstavlja FunkSec grupa.

 

ZAKLJUČAK

Uspon FunkSec grupe predstavlja značajan izazov za globalnu zajednicu u njenoj borbi protiv napada ucjenjivačkog softvera. Navodna upotreba razvoja zlonamjernog softvera uz pomoć vještačke inteligencije (AI) i povezanost sa grupama haktivista komplikuje napore da se razumiju njihove motivacije i procjeni njihov nivo prijetnje. Da bi se suprotstavile ovoj novoj prijetnji, organizacije moraju usvojiti proaktivne mjere sajber bezbjednosti, edukovati zaposlene o taktikama društvenog inženjeringa i biti budne u pogledu znakova potencijalnog napada.

FunkSec grupa definitivno predstavlja značajnu evoluciju u oblasti sajber kriminala. Iako njihovim operacijama možda nedostaje sofisticiranost poznatih grupa za ucjenjivački softver, njihova upotreba vještačke inteligencije (AI) i usklađivanje sa političkim pokretima čine ih strašnom prijetnjom. Dok se sigurnosna digitalna zajednica bori sa ovim izazovima, jasno je da će inovacije i saradnja biti ključni za ostanak korak ispred protivnika kao što je FunkSec grupa.

Iz svega navedenog bi se moglo zaključiti, da će budućnost sajber bezbjednosti nesumnjivo oblikovati grupe kao što je FunkSec, gurajući industriju da inovira i razvije sofisticiranije odbrambene mehanizme. Kako napredujemo, od suštinskog je značaja da vlade, preduzeća i pojedinci rade zajedno na borbi protiv ove rastuće prijetnje i obezbjeđivanju sigurnijeg digitalnog pejzaža za sve.

 

ZAŠTITA

U savremenom digitalnom prostoru, gdje zlonamjerni akteri kao što je FunkSec predstavljaju značajnu prijetnju, za pojedince i organizacije ključno je sprovoditi robusne mjere sajber bezbjednosti:

  1. Potrebno je uspostaviti snažnu mrežnu infrastrukturu primjenom zaštitnih zidova, sistema za otkrivanje upada (eng. intrusion detection systems – IDS) i sistema za sprečavanje upada (eng. intrusion prevention systems – IPS). Ovi alati mogu pomoći u otkrivanju i sprečavanju neovlaštenog pristupa mreži, čime se smanjuje rizik od infiltracije ucjenjivačkog softvera. Pored toga, segmentiranje mreže na manje segmente može ograničiti širenje potencijalnog napada unutar sistema;
  2. Uvjeriti se da je sav softver na sistemima ažuriran. Redovna ažuriranja ne samo da pružaju nove funkcije, već i ispravke ranjivosti koje bi zlonamjerni akteri mogli da iskoriste za instaliranje ucjenjivačkog softvera. Davati prioritet automatskim ažuriranjima za kritične aplikacije i uvjeriti se da su ispravno konfigurisane kako bi se smanjile smetnje;
  3. Obrazovati korisnike o važnosti sajber bezbjednosti i rizicima povezanim sa klikom na sumnjive veze, otvaranjem priloga elektronske pošte iz nepoznatih izvora ili preuzimanjem neprovjerenog softvera. Podstaknuti kulturu budnosti i prijavljivanja svih sumnjivih phishing pokušaja ili bezbjednosnih incidenata IT odjeljenju;
  4. Primijeniti redovne strategije pravljenja rezervnih kopija za kritične podatke. Uvjeriti se da su rezervne kopije bezbjedno uskladištene van mreže ili u oblaku, jer se šifrovane datoteke tako mogu vratiti ako ucjenjivački softver inficira sistem. Redovno testirati strategiju rezervne kopije da bi se potvrdila njena efikasnost i postojanost;
  5. Primijeniti rješenja za zaštitu krajnjih tačaka kao što su antivirusni softver, alatke za zaštitu od zlonamjernog softvera i filteri za elektronsku poštu da bi se pomoglo u otkrivanju i sprečavanju instalacije zlonamjernog softvera na sistemima. Ovi alati takođe mogu pomoći u uklanjanju postojećeg ucjenjivačkog softvera sa mreže;
  6. Razviti plan odgovora na sajber prijetnju koji navodi korake koje treba preduzeti kada dođe do incidenta u vezi sa sajber bezbjednošću. Ovaj plan bi trebalo da uključi identifikaciju izvora napada, izolovanje pogođenih sistema, vraćanje podataka iz rezervnih kopija i obavještavanje relevantnih agencija za sprovođenje zakona ako je potrebno. Takođe, potrebno je redovno pregledati i ažurirati ovaj plan odgovora na sajber prijetnju kako bi se osigurala njegova efikasnost u suočavanju sa prijetnjama koje se razvijaju kao što je FunkSec ucjenjivački softver;
  7. Implementirati autentifikaciju u više koraka (eng. multi-factor authentication – MFA) za sve kritične sisteme i aplikacije. Autentifikaciju u više koraka (MFA) dodaje još jedan sloj bezbjednosti zahvaljujući od korisnika da obezbijede više oblika verifikacije, što otežava zlonamjernim akterima da dobiju neovlašteni pristup;
  8. Potrebno je biti informisan o najnovijim prijetnjama, taktikama, tehnikama i procedurama koje koriste zlonamjerni akteri kao što je FunkSec. Pretplata na renomirane izvore informacija o prijetnjama i saradnja sa drugim organizacijama kako bi se dijelile informacije o novim prijetnjama i najboljim praksama za njihovo ublažavanje su poželjne strategije odbrane.

Primjenom ovih preporuka moguće je značajno smanjiti rizik da se postane žrtva FunkSec ucjenjivačkog softvera ili sličnih prijetnji u budućnosti.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.