Kaspersky houdt FunkSec, een ransomware-groep die sinds begin dit jaar zeer actief is, tegen de lamp. Met inzet van AI en een open ‘partnernetwerk’ voert FunkSec aanvallen op grote schaal uit.
Marc Rivero van het Kaspersky GReAT-onderzoeksteam presenteerde het onderzoek tijdens een conferentie van de beveiligingsspecialist in Madrid. Volgens Rivero is FunkSec het levende bewijs dat cybercriminelen AI inzetten op om grote schaal aanvallen uit te voeren. Maar dat is niet het enige wat FunkSec uniek maakt.
FunkSec kwam eind 2024 voor het eerst kijken. De ransomware verspreidde zich sindsdien snel en richtte zich al op overheden, technologiebedrijven, financiële instellingen en onderwijsinstellingen in Europa. Kaspersky nam de ransomware onder de loep en ontdekte dat grote delen van de code met generatieve AI werden ontwikkeld.
Met of zonder wachtwoord
Wat FunkSec onderscheidt van andere ransomware, is de combinatie van full-scale encryptie, agressieve datadiefstal en een zelfopruimfunctie, geschreven in één enkel Rust-programma. De ransomware kan meer dan 50 processen op een slachtoffercomputer uitschakelen.
Daarnaast maakt de groep gebruik van een wachtwoordmechanisme. Zonder wachtwoord voert de malware enkel basisversleuteling uit. Met een wachtwoord kan de versleutelde data ook worden binnengetrokken door de criminelen.
Iedereen partner
Kaspersky’s onderzoeker besluit dat FunkSec generatieve AI gebruikt om onderdelen van de code te schrijven. Dat blijkt ironisch genoeg net uit ‘imperfecties’ en overbodige functies in de code. Het gebruik van AI stelt de aanvallers in staat om op laagdrempelige manier aanvallen op grote schaal uit te voeren met FunkSec. Het is maar één van de manieren waarop cybercriminelen AI inzetten.
lees ook
‘De tijd van zielige phishingaanvallen is voorbij’
Opvallend is dat de FunkSec-groep alles gratis aanbiedt, zowel de broncode als een kant-en-klare proof of concept om die uit te voeren. Naast ransomware heeft FunkSec op zijn eigen lekwebsite een ruime catalogus aan hacktools, zoals ‘wachtwoordgrijpers’ en eenvoudige tools voor DDoS-aanvallen. FunkSec vraagt bovendien lage losgelden en verdient vooral geld op doorverkoop van gestolen data.
Dit is volgens Rivero een ‘nooit eerder geziene’ werkwijze. “Iedereen kan in principe een partner worden van FunkSec, ook wie buiten het netwerk valt. Net omdat de code grotendeels met AI ontwikkeld werd, is de kost minder belangrijk. Het uitbouwen van het netwerk en het verhogen van het volume van aanvallen is prioritair”.