Investigación Profunda de Grupos de Ransomware

Investigación 5 - Ransomware Funksec

Redes Sociales

blueteam.smi@hotmail.com

https://shows.acast.com/blueteam-sin-morir-en-el-intento

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

https://www.youtube.com/@BlueTeamSMI

Donativo

https://buymeacoffee.com/btsmi

1. Identificación

Aparición: Octubre de 2024.

Origen: Presuntamente Argelia, por conexiones con hacktivistas locales.

Víctimas: Unas 172 organizaciones en EE. UU., India, España, Mongolia, Israel, etc.

2. Perfil y evolución

Actores clave:

Scorpion/DesertStorm: Primer promotor en foros y YouTube; OPSEC falló al filtrar su ubicación.

El_Farado: Sucesor con poca experiencia técnica.

Afiliados: XTN, Blako, Bjorka, aportan clasificación de datos y difusión.

Imagen política: Referencias a Ghost Algéria y Cyb3r Fl00d para aparentar motivación hacktivista.

IA en el malware: “FunkLocker” (Rust) creado o asistido por IA, acelerando el desarrollo.

3. Operaciones y TTPs

Modelo RaaS y doble extorsión: Afiliados ejecutan el ransomware; cifra datos y amenaza con filtrarlos.

Rescate: 0,1 BTC (~10 000 USD), con casos desde 5 000 USD; estrategia “spray & pray”.

Tácticas MITRE:

Acceso: Phishing (T1566), exploits web (T1190).

Ejecución: Engaño al usuario (T1204).

Escalada: Tokens (T1134), exploits locales (T1068).

Evasión: Borrado de evidencias (T1070), desactivación de defensas (T1562).

Credenciales: Fuerza bruta (T1110), volcado de credenciales (T1003).

Descubrimiento: Info del sistema (T1082), servicios de red (T1046).

Movimiento lateral: Servicios remotos (T1021).

Exfiltración: Vía web (T1567).

Impacto: Inhibe recuperación (T1490), cifrado (T1486).

4. Infraestructura

Herramientas: FunkLocker, Funkgenerate.zip, ddos1.py/FDDOS, Scorpion DDoS Tool, JQRAXY (HVNC), ReactGPT, Rclone.

5. Análisis técnico

Persistencia: Tarea programada “funksec”.

Evasión: Desactiva Defender/BitLocker; limpia registros (wevtutil cl); PowerShell Bypass.

Antianálisis: Detecta VMs; comprueba privilegios (net session).

Cifrado: RSA-2048, AES-256, XChaCha20; extensión .funksec.

Autocopia: Se replica en todas las unidades (A:–Z:).

UI: Descarga y aplica fondo de pantalla remoto antes de cifrar.

6. Victimología

Sectores impactados: Tecnología, gobierno, servicios empresariales, educación, finanzas, salud, energía, manufactura, transporte, hospitalidad y agricultura.

7. Contramedidas

Prevención: Copias de seguridad inmutables, parches regulares, segmentación de red, mínimos privilegios, MFA, EDR/IDS con alertas de comandos sospechosos.

Respuesta: Aislar sistemas, notificar autoridades, evaluar desencriptadores, restaurar desde backups, revisar telemetría y reforzar controles.

URL´s

https://www.checkpoint.com/es/cyber-hub/threat-prevention/ransomware/funksec-ransomware-ai-powered-group/ 

https://research.checkpoint.com/2025/funksec-alleged-top-ransomware-group-powered-by-ai/

Video sugerido que pasos deben tomarse en caso de infección 

https://youtu.be/cMZ4apzfKjQ

Hosted on Acast. See acast.com/privacy for more information.