FunkSec izbliza: Kaspersky otkriva kako se razvija AI ransomver sa lozinkom kao zaštitom

Na događaju Kaspersky Horizons u Madridu, stručnjaci iz Globalnog tima za istraživanje i analizu (GReAT) kompanije Kaspersky otkrili su kako funkcioniše FunkSec — ransomver grupa koja oslikava budućnost masovnog sajber kriminala: koristi veštačku inteligenciju, ima višestruke funkcije, izuzetno se prilagođava i funkcioniše u velikom obimu, sa otkupninama koje počinju od samo 10.000 dolara radi maksimizacije profita.

 

GReAT tim kompanije Kaspersky neprekidno prati stanje u oblasti ransomver pretnji, gde broj napada nastavlja da raste. Prema najnovijem „State of Ransomware“ izveštaju, udeo korisnika pogođenih ransomver napadima širom sveta porastao je na 0,44% u periodu od 2023. do 2024. godine, što je povećanje od 0,02 procentna poena. Iako ovaj procenat može delovati skromno u poređenju sa drugim sajber pretnjama, on pokazuje da napadači uglavnom ciljaju mete visoke vrednosti umesto masovne distribucije, što svaki incident čini potencijalno razornim. U ovom promenljivom okruženju, FunkSec se pojavio kao posebno zabrinjavajuća pretnja.

FunkSec grupa, koja se pojavila krajem 2024. godine i aktivna je manje od godinu dana, brzo je prestigla mnoge poznate aktere napadajući sektore državne uprave, tehnologije, finansija i obrazovanja u Evropi i Aziji.

Ono što izdvaja FunkSec grupu jeste njena sofisticirana tehnička arhitektura i razvoj uz pomoć veštačke inteligencije. Grupa kombinuje potpunu enkripciju i agresivno izvlačenje podataka u jedan izvršni fajl zasnovan na Rust programskom jeziku koji je sposoban da onesposobi više od 50 procesa na zaraženim uređajima i opremljen je funkcijama za samostalno uklanjanje radi izbegavanja zaštitnih mehanizama. Pored osnovne ransomver funkcionalnosti, FunkSec grupa je proširila svoje alate uključivanjem generatora lozinki i osnovnog DDoS alata — oba pokazuju jasne znake sinteze koda pomoću velikih jezičkih modela (LLM).

Ovakav pristup grupe FunkSec odražava promenljivo okruženje masovnog sajber kriminala, kombinujući napredne alate i taktike. Stručnjaci GReAT tima kompanije Kaspersky ističu ključne karakteristike koje definišu delovanje grupe:

Funkcije koje se kontrolišu lozinkom

Stručnjaci GReAT tima otkrili su da FunkSec ransomver poseduje jedinstven mehanizam zasnovan na lozinki koji upravlja režimima rada. Bez lozinke, malver sprovodi osnovnu enkripciju fajlova, dok unošenje lozinke aktivira agresivniji proces izvlačenja podataka, uz enkripciju, kako bi ukrao osetljive informacije.

FunkSec kombinuje potpunu enkripciju, lokalno izvlačenje podataka i samostalno čišćenje u jedan Rust binarni fajl — bez dodatnog učitavača ili prateće skripte. Takav nivo konsolidacije je neuobičajen i omogućava saradnicima da koriste alat koji je odmah spreman za upotrebu i koji mogu da primene gotovo bilo gde.

Upotreba veštačke inteligencije u razvoju

Analiza koda pokazuje da FunkSec aktivno koristi generativnu veštačku inteligenciju za pravljenje svojih alata. Mnogi delovi koda deluju kao da su automatski generisani, a ne ručno napisani. Na to ukazuju generički komentari i tehničke nedoslednosti, poput komandi za različite operativne sisteme koje nisu usklađene. Takođe, prisustvo deklarisanih, a neiskorišćenih funkcija — kao što su moduli koji su uključeni na početku, ali se nikada ne koriste — pokazuje kako veliki jezički modeli kombinuju više delova koda bez uklanjanja suvišnih elemenata.

„Sve više viđamo kako sajber kriminalci koriste veštačku inteligenciju za razvoj zlonamernih alata. Generativna veštačka inteligencija smanjuje prepreke i ubrzava pravljenje malvera, omogućavajući sajber kriminalcima da brže prilagođavaju svoje taktike. Time što spušta prag ulaska, veštačka inteligencija omogućava čak i manje iskusnim napadačima da brzo razviju sofisticiran malver u velikim razmerama“, komentariše Mark Rivero, glavni istraživač bezbednosti u GReAT timu kompanije Kaspersky.

Strategija visokog obima i niske otkupnine

FunkSec grupa zahteva neuobičajeno niske otkupnine, ponekad svega 10.000 dolara, i to kombinuje sa prodajom ukradenih podataka po sniženim cenama trećim stranama. Ova strategija je verovatno osmišljena za omogućavanje velikog broja napada, čime grupa brzo gradi reputaciju u sajber kriminalnom podzemlju. Za razliku od poznatih ransomver grupa koje traže otkupnine u milionima dolara, FunkSec koristi model visokog obima i niske cene — što dodatno naglašava upotrebu veštačke inteligencije za optimizaciju i širenje operacija.

Širenje van okvira ransomvera

FunkSec grupa je proširila svoje kapacitete van okvira samog ransomver binarnog fajla. Njen DLS sajt sadrži dodatne alate, uključujući generator lozinki zasnovan na Python programskom jeziku, namenjen za brute-force i password-spraying napade, kao i osnovni DDoS alat.

Napredno izbegavanje

FunkSec grupa koristi napredne tehnike izbegavanja kako bi izbegli detekciju i otežali forenzičku analizu. Ransomver je sposoban da zaustavi više od 50 procesa i servisa kako bi obezbedio temeljnu enkripciju targetiranih fajlova. Pored toga, sadrži rezervni mehanizam koji omogućava izvršavanje određenih komandi čak i bez administratorskih ovlašćenja.

Proizvodi kompanije Kaspersky detektuju ovu pretnju kao HEUR:Trojan-Ransom.Win64.Generic.

Kako bi se zaštitile od ransomver napada, stručnjaci kompanije Kaspersky preporučuju da organizacije prate sledeće najbolje prakse za zaštitu od ransomvera:

• Omogućite zaštitu od ransomvera na svim krajnjim tačkama. Dostupan je besplatan alat Kaspersky Anti-Ransomware Tool for Business koji štiti računare i servere od ransomvera i drugih vrsta malvera, sprečava eksploataciju ranjivosti i kompatibilan je sa već instaliranim bezbednosnim rešenjima.
• Ažurirajte softver na svim uređajima koje koristite kako biste sprečili napadače da iskoriste ranjivosti i infiltriraju se u vašu mrežu.
• Fokusirajte svoju strategiju odbrane na otkrivanje lateralnih kretanja i iznošenja podataka na internet. Obratite posebnu pažnju na odlazni saobraćaj kako biste otkrili veze sajber kriminalaca sa vašom mrežom. Postavite oflajn rezervne kopije koje napadači ne mogu da menjaju. Postarajte se da im možete brzo pristupiti kada je to potrebno ili u vanrednoj situaciji.
• Instalirajte anti-APT i EDR rešenja koja omogućavaju naprednu detekciju i otkrivanje pretnji, istragu i pravovremeno rešavanje incidenata. Obezbedite vašem SOC timu pristup najnovijim informacijama o pretnjama i redovno se usavršavajte kroz stručne obuke. Sve navedeno dostupno je u okviru Kaspersky Expert Security sistema.
• Koristite najnovije informacije o pretnjama koje pruža Threat Intelligence kako biste bili upoznati sa aktuelnim taktikama, tehnikama i procedurama (TTP) koje koriste napadači.
• Da biste zaštitili kompaniju od širokog spektra pretnji, koristite rešenja iz Kaspersky Next linije proizvoda koja pružaju zaštitu u realnom vremenu, vidljivost pretnji, kao i mogućnosti istrage i odgovora karakteristične za EDR i XDR, namenjene organizacijama bilo koje veličine i delatnosti. U zavisnosti od vaših trenutnih potreba i raspoloživih resursa, možete izabrati najrelevantniji nivo proizvoda i lako preći na drugi ukoliko se vaši zahtevi za sajber bezbednošću promene.

 

Image by Riki32, Pixabay