HackerNews 编译,转载请注明出处:
网络安全研究人员揭示了一个新兴的人工智能(AI)辅助勒索软件家族——FunkSec,该家族于2024年末崭露头角,至今已造成85名以上受害者。
Check Point Research在与The Hacker News分享的最新报告中指出:“该团伙采用双重勒索战术,结合数据窃取与加密手段,向受害者施压以索取赎金。值得注意的是,FunkSec要求的赎金异常低廉,有时低至1万美元,并以折扣价将窃取的数据出售给第三方。”
2024年12月,FunkSec推出了数据泄露网站(DLS),以“集中化”其勒索软件运营,发布泄露公告,提供分布式拒绝服务(DDoS)攻击定制工具,并作为勒索软件即服务(RaaS)模式的一部分,推出定制勒索软件。
受害者主要分布在美国、印度、意大利、巴西、以色列、西班牙和蒙古国。Check Point对该团伙活动的分析显示,这可能是由寻求通过再利用先前黑客活动相关泄露信息来吸引名声的新手所为。
据Halcyon称,FunkSec的特点在于,它既是勒索软件团伙,又是数据掮客,以1000至5000美元的价格向感兴趣的买家兜售窃取的数据。
已确定该RaaS团伙中的部分成员从事黑客活动,这凸显了黑客主义与网络犯罪之间界限的持续模糊,正如国家行为体和有组织网络犯罪分子日益展现出“战术、技术和甚至目标方面令人不安的趋同”一样。
他们还声称以印度和美国为目标,与“自由巴勒斯坦”运动保持一致,并试图与现已不存在的黑客实体如Ghost Algeria和Cyb3r Fl00d建立联系。以下是与FunkSec相关的一些显著人物:
- Scorpion(又名DesertStorm),一名疑似来自阿尔及利亚的参与者,曾在地下论坛如Breached Forum上宣传该团伙。El_farado,在DesertStorm被Breached Forum封禁后,成为宣传FunkSec的主要人物。XTN,一名可能的同伙,参与了一项尚不清楚的“数据分类”服务。Blako,被DesertStorm与El_farado一同标记。Bjorka,一名印尼知名黑客活动分子,其别名被用于在DarkForums上声称与FunkSec相关的泄露,这可能指向松散的隶属关系或他们试图冒充FunkSec。
该团伙可能也涉足黑客活动的迹象体现在存在DDoS攻击工具以及与远程桌面管理(JQRAXY_HVNC)和密码生成(funkgenerate)相关的工具。
Check Point指出:“包括加密器在内的该团伙工具的开发可能得到了AI的辅助,这有助于他们快速迭代,尽管开发者显然缺乏技术专长。”
名为FunkSec V1.5的最新勒索软件版本用Rust编写,相关文件是从阿尔及利亚上传到VirusTotal平台的。对旧版本恶意软件的检查发现,勒索软件说明中提到了FunkLocker和Ghost Algeria。这些样本大多是从阿尔及利亚上传的,可能是开发者本人所为,这表明威胁行为者来自该国。
勒索软件二进制文件被配置为递归遍历所有目录并加密目标文件,但在提升权限、采取措施禁用安全控制、删除卷影复制备份以及终止硬编码的进程和服务列表之前不会这样做。
Check Point Research威胁情报小组经理Sergey Shykevich在一份声明中表示:“2024年是勒索软件团伙非常成功的一年,与此同时,全球冲突也助长了不同黑客团体的活动。FunkSec是最近涌现的一个新团伙,在12月成为最活跃的勒索软件团伙,模糊了黑客主义与网络犯罪之间的界限。受政治议程和财务激励的双重驱使,FunkSec利用AI并重新利用旧的数据泄露来建立一个新的勒索软件品牌,尽管其活动的真正成功性仍高度可疑。”
与此同时,Forescout详细描述了Hunters International的一次攻击,该攻击可能利用Oracle WebLogic Server作为初始入口点,投放China Chopper web shell,然后用于执行一系列后利用活动,最终导致勒索软件的部署。
Forescout表示:“在获得访问权限后,攻击者进行了侦察和横向移动,以绘制网络地图并提升权限。攻击者使用了多种常见的行政和红队工具进行横向移动。”
消息来源:The Hacker News, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
