FunkSec是一个新的勒索软件组织，该组织在2024年12月攻击了80多名受害者，其勒索软件是利用AI工具开发的。

FunkSec勒索软件即服务（RaaS）组织自2024年底开始活跃，该团伙在2024年12月公布了85名受害者。

该组织很可能使用了基于AI的系统来快速开发高级工具，将黑客行动主义和网络犯罪结合在一起。然而，该组织泄露的许多数据集都是重复使用的，这引发了对其真实性的质疑。

FunkSec与之前的勒索软件组织没有已知的联系，可获得的详细信息有限。

"我们对该组织活动的分析表明，公布的受害者数量虽然令人印象深刻，但可能掩盖了实际受害者和该组织专业水平的真实情况。FunkSec的核心操作很可能由经验不足的黑客进行。此外，由于该组织的主要目标似乎是获得知名度和认可，因此很难验证泄露信息的真实性。"Check Point发布的报告称，"有证据表明，在某些情况下，泄露的信息是从之前的黑客行动主义相关泄露中回收的，这引发了对其真实性的质疑。"

与其他勒索软件组织不同，FunkSec要求的赎金较低，在某些情况下低至q0,000。该组织以折扣价将窃取的数据出售给第三方。

Check Point的分析显示，FunkSec勒索软件正在由一名经验不足的作者积极开发，该作者很可能在阿尔及利亚，其变种引用了FunkSec和Ghost Algeria。

该勒索软件是用Rust编写的，并从阿尔及利亚上传到VirusTotal。其原型加密文件、创建勒索信、修改环境并检查管理员权限。

该组织广泛使用AI来增强能力，其工具和脚本具有经过打磨的AI生成的代码注释，包括在他们的Rust勒索软件源代码中。

"在他们发布的一些信息中，该组织特别将其勒索软件的开发与AI辅助代理联系起来，很可能为其提供了勒索软件的源代码，并简单地在他们的网站上分享了输出。"报告继续说道，"这些工具的使用与该组织的公开声明密切相关，因为他们还发布了一个基于Miniapps的AI聊天机器人来支持他们的操作。Miniapps是一个促进AI应用程序和聊天机器人创建和使用的平台，通常没有像ChatGPT这样更流行的系统中的限制。FunkSec开发的机器人专门用于支持恶意活动。"

FunkSec于2024年10月出现，由使用Scorpion和DesertStorm别名的威胁行为者引入。后来，RaaS由名为El_Farado的其他威胁行为者推广。XTN、Blako和Bjorka很可能与该组织有关联。

一旦执行，FunkSec勒索软件就会禁用安全功能，包括Windows Defender、日志记录、PowerShell限制和执行期间的影子副本备份。

该恶意软件将".funksec"扩展名添加到加密文件的文件名中，然后在磁盘上放置勒索信。

RaaS操作与"自由巴勒斯坦"运动一致，目标是印度和美国，并与已解散的黑客行动主义组织如Ghost Algéria和Cyb3r Fl00d有关联。

"FunkSec的操作突显了AI在恶意软件开发中的作用、黑客行动主义与网络犯罪的重叠以及验证泄露数据的挑战。它还引发了关于我们如何评估勒索软件组织构成的威胁的问题，因为我们经常依赖这些组织自己的声明。"Check Point总结道，"这些发现反映了一个不断变化的威胁格局，即使是低技能的行为者也可以利用可访问的工具来投射一个非常大的阴影。"

参考来源：https://securityaffairs.com/173018/cyber-crime/funksec-ransomware-was-developed-using-ai-tools.html