Cyberattacke-Bulletin: Verteidigung gegen Codefinger Ransomware in AWS S3 >

Cyberattacke-Bulletin: Verteidigung gegen Codefinger Ransomware in AWS S3 >

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Hamburger-Symbol oberste Zeile
Hamburger-Symbol mittlere Zeile
Hamburger Symbol unterste Zeile
cybercriminels
>
Ransomware Gruppe

FunkSec

FunkSec repräsentiert eine neue Welle von KI-gestützten ransomware , die Cyberkriminalität mit Hacktivismus verbinden. Ihre technische Raffinesse ist zwar fragwürdig, aber ihre Taktik und öffentliche Sichtbarkeit machen sie zu einer bemerkenswerten Bedrohung. Sicherheitsteams sollten KI-gesteuerte malware beobachten und sich auf ransomware vorbereiten, die Automatisierung und Täuschungstaktiken nutzen.

FunkSecs TTPs aufspüren
Ist Ihr Unternehmen vor FunkSec sicher?
Hintergrund
Ziele
TTPs
Erkennung
Häufig gestellte Fragen
Watch Threat Briefing

FunkSec's Hintergrund

FunkSec ist eine ransomware , die Ende 2024 aufgetaucht ist und aufgrund der hohen Zahl öffentlich gemeldeter Opfer schnell Berühmtheit erlangt hat. Im Gegensatz zu anderen etablierten ransomware scheint FunkSec ein relativ neues und unabhängiges Unternehmen zu sein, das keine bekannten Verbindungen zu früheren ransomware hat. Die Gruppe wendet eine doppelte Erpressungstaktik an und kombiniert Datenverschlüsselung mit Datendiebstahl, um die Opfer zur Zahlung von Lösegeld zu zwingen.

Ein Hauptmerkmal von FunkSec ist die KI-gestützte malware , die es selbst unerfahrenen Akteuren ermöglicht, bösartige Tools schnell zu erstellen und zu verbessern. Die Gruppe scheint an der Schnittstelle von Hacktivismus und Cyberkriminalität zu operieren, was es schwierig macht, ihre wahren Beweggründe zu ermitteln. Einige der durchgesickerten Datensätze wurden aus früheren Hacktivismus-Kampagnen wiederverwendet, was Zweifel an der Authentizität ihrer Enthüllungen aufkommen lässt.

FunkSec stellt sich selbst als hochentwickeltes ransomware(RaaS)-Unternehmen dar, doch Sicherheitsforscher haben mehrere Anzeichen dafür gefunden, dass die technischen Kenntnisse der Gruppe begrenzt sind. Die meisten ihrer Aktivitäten scheinen eher von dem Wunsch nach Berühmtheit als nach finanziellem Gewinn angetrieben zu werden, wie die niedrigen Lösegeldforderungen und die öffentlichen Werbemaßnahmen in Cybercrime-Foren zeigen.

Quelle: Checkpoint

FunkSec's Hintergrund
Ziele

FunkSec's Ziele

Zielländer

Die meisten Opfer von FunkSec stammen aus Indien und den Vereinigten Staaten, weitere Angriffe richteten sich gegen europäische und nahöstliche Organisationen. Ihre Ausrichtung auf die Bewegung "Free Palestine" lässt auf eine mögliche geopolitische Motivation schließen, auch wenn es sich dabei eher um ein Branding als um tatsächliche politische Absichten handeln könnte.

Zielgerichtete Industrien

FunkSec scheint sich nicht auf eine bestimmte Branche zu konzentrieren, sondern hat bereits Regierungseinrichtungen, das Gesundheitswesen, Finanzdienstleistungen und Technologieunternehmen angegriffen. Das ransomware(RaaS)-Modell der Gruppe ermöglicht es mehreren angeschlossenen Unternehmen, ihre Tools zu nutzen, wodurch der Kreis der potenziellen Opfer erweitert wird. Einige Zielbranchen stimmen mit den Motiven der Hacktivisten überein, insbesondere Regierungsbehörden und Infrastruktur.

Bildquelle: PCrisk

Zielgerichtete Industrien

FunkSec scheint sich nicht auf eine bestimmte Branche zu konzentrieren, sondern hat bereits Regierungseinrichtungen, das Gesundheitswesen, Finanzdienstleistungen und Technologieunternehmen angegriffen. Das ransomware(RaaS)-Modell der Gruppe ermöglicht es mehreren angeschlossenen Unternehmen, ihre Tools zu nutzen, wodurch der Kreis der potenziellen Opfer erweitert wird. Einige Zielbranchen stimmen mit den Motiven der Hacktivisten überein, insbesondere Regierungsbehörden und Infrastruktur.

Bildquelle: PCrisk

Bemerkenswerte Opfer

Schätzungsweise 138 Organisationen sind bereits Opfer von FunkSec-Angriffen geworden.

Angriffsmethode

Die Angriffsmethode von FunkSec

Erster Zugang
Rechte-Eskalation
Verteidigung Umgehung
Zugang zu Anmeldeinformationen
Entdeckung
Seitliche Bewegung
Sammlung
Ausführung
Exfiltration
Auswirkungen
Eine schattenhafte Gestalt, die ein weites Netz über eine digitale Landschaft mit verschiedenen Geräten wie Computern, Smartphones und Tablets auswirft. Das Netz symbolisiert die Versuche des Angreifers, Schwachstellen zu finden oder phishing Techniken zu verwenden, um unbefugten Zugang zu erhalten.

FunkSec verschafft sich Zugang über phishing , das Ausfüllen von Anmeldeinformationen und das Ausnutzen ungepatchter Schwachstellen in gefährdeten Systemen. Außerdem nutzen sie gestohlene Anmeldedaten, die sie in Dark-Web-Foren gefunden haben.

Eine digitale Leiter, die von einem einfachen Benutzersymbol zu einer Krone aufsteigt, die administrative Rechte symbolisiert. Dies steht für die Bemühungen des Angreifers, innerhalb des Systems Zugang zu höheren Ebenen zu erhalten.

Die Gruppe versucht, ihre Privilegien mithilfe von Techniken zum Diebstahl von Anmeldeinformationen, Token-Manipulation und Ausnutzung von Fehlkonfigurationen in Windows-Umgebungen zu erweitern.

Ein Chamäleon, das sich in einen digitalen Hintergrund einfügt, mit Nullen und Einsen, die es umgeben. Dies steht für die Fähigkeit des Angreifers, sich der Entdeckung durch Sicherheitsmaßnahmen zu entziehen, indem er seine Taktik ändert, um sich in den normalen Netzwerkverkehr einzufügen.

FunkSec deaktiviert Windows Defender, Ereignisprotokollierung und PowerShell-Sicherheitsfunktionen, um eine Erkennung zu vermeiden. Ihre ransomware ist in Rust kompiliert, was die Analyse und Erkennung erschweren kann.

Ein Dieb mit einem Dietrich-Toolkit, der an einem riesigen Schlüsselloch arbeitet, das wie ein Anmeldeformular geformt ist und die Bemühungen des Angreifers darstellt, Benutzerdaten zu stehlen, um unbefugten Zugang zu erhalten.

Sie setzen Keylogger und Tools zum Auslesen von Passwörtern ein, wie z. B. funkgenerate, das Anmeldedaten von kompromittierten Systemen und Websites sammelt.

Eine Lupe, die sich über eine digitale Karte eines Netzwerks bewegt und Dateien, Ordner und Netzwerkverbindungen hervorhebt. Dieses Bild stellt die Phase dar, in der Angreifer die Umgebung erkunden, um die Struktur zu verstehen und herauszufinden, wo sich wertvolle Daten befinden.

FunkSec scannt infizierte Netzwerke, um wertvolle Dateien zu finden und die wichtigsten zu verschlüsselnden Daten zu ermitteln.

Eine Reihe miteinander verbundener Knotenpunkte, zwischen denen sich eine schemenhafte Gestalt heimlich bewegt. Dies veranschaulicht die Bewegungen des Angreifers innerhalb des Netzes, der versucht, die Kontrolle über weitere Systeme zu erlangen oder malware zu verbreiten.

Sie verwenden HVNC-Tools (Hidden Virtual Network Computing) und Remote-Desktop-Exploits, um sich in kompromittierten Netzwerken zu bewegen.

Ein großer Staubsauger, der Dateien, Datensymbole und Ordner in einen Beutel aufsaugt, der von einer schemenhaften Gestalt gehalten wird. Dieses Bild symbolisiert den Prozess des Sammelns wertvoller Daten aus dem Zielnetzwerk.

Die Gruppe exfiltriert sensible Dateien mithilfe von benutzerdefinierten Python-Skripten und Standardtools wie Rclone, bevor sie die Daten der Opfer verschlüsselt.

Ein Eingabeaufforderungsfenster, das vor einem digitalen Hintergrund geöffnet ist und in das bösartiger Code eingegeben wird. Dies ist die Phase, in der die Angreifer ihre bösartige Nutzlast auf dem angegriffenen System ausführen.

Die auf Rust basierende ransomware verschlüsselt Dateien mit ChaCha20-Verschlüsselung, fügt die Erweiterung ".funksec" hinzu und hinterlässt eine Lösegeldforderung.

Eine Reihe von Dateien, die über einen verdeckten Kanal von einem Computer zu einem mit einem Totenkopf gekennzeichneten cloud geleitet werden, was die unautorisierte Übertragung von Daten an einen vom Angreifer kontrollierten Ort symbolisiert.

Die gestohlenen Daten werden auf die Dark-Web-Leak-Site von FunkSec hochgeladen, wo sie entweder öffentlich zugänglich gemacht oder an Dritte verkauft werden.

Ein zerbrochener Bildschirm mit einer digitalen Stadtlandschaft im Chaos dahinter symbolisiert die zerstörerischen Auswirkungen des Cyberangriffs, wie z. B. Dienstunterbrechungen, Datenvernichtung oder finanzielle Verluste.

Die ransomware löscht Schattenkopien, unterbricht den Betrieb durch das Beenden von Prozessen und ändert die Systemeinstellungen (z. B. verdunkelt sie den Desktop-Hintergrund).

Eine schattenhafte Gestalt, die ein weites Netz über eine digitale Landschaft mit verschiedenen Geräten wie Computern, Smartphones und Tablets auswirft. Das Netz symbolisiert die Versuche des Angreifers, Schwachstellen zu finden oder phishing Techniken zu verwenden, um unbefugten Zugang zu erhalten.
Erster Zugang

FunkSec verschafft sich Zugang über phishing , das Ausfüllen von Anmeldeinformationen und das Ausnutzen ungepatchter Schwachstellen in gefährdeten Systemen. Außerdem nutzen sie gestohlene Anmeldedaten, die sie in Dark-Web-Foren gefunden haben.

Eine digitale Leiter, die von einem einfachen Benutzersymbol zu einer Krone aufsteigt, die administrative Rechte symbolisiert. Dies steht für die Bemühungen des Angreifers, innerhalb des Systems Zugang zu höheren Ebenen zu erhalten.
Rechte-Eskalation

Die Gruppe versucht, ihre Privilegien mithilfe von Techniken zum Diebstahl von Anmeldeinformationen, Token-Manipulation und Ausnutzung von Fehlkonfigurationen in Windows-Umgebungen zu erweitern.

Ein Chamäleon, das sich in einen digitalen Hintergrund einfügt, mit Nullen und Einsen, die es umgeben. Dies steht für die Fähigkeit des Angreifers, sich der Entdeckung durch Sicherheitsmaßnahmen zu entziehen, indem er seine Taktik ändert, um sich in den normalen Netzwerkverkehr einzufügen.
Verteidigung Umgehung

FunkSec deaktiviert Windows Defender, Ereignisprotokollierung und PowerShell-Sicherheitsfunktionen, um eine Erkennung zu vermeiden. Ihre ransomware ist in Rust kompiliert, was die Analyse und Erkennung erschweren kann.

Ein Dieb mit einem Dietrich-Toolkit, der an einem riesigen Schlüsselloch arbeitet, das wie ein Anmeldeformular geformt ist und die Bemühungen des Angreifers darstellt, Benutzerdaten zu stehlen, um unbefugten Zugang zu erhalten.
Zugang zu Anmeldeinformationen

Sie setzen Keylogger und Tools zum Auslesen von Passwörtern ein, wie z. B. funkgenerate, das Anmeldedaten von kompromittierten Systemen und Websites sammelt.

Eine Lupe, die sich über eine digitale Karte eines Netzwerks bewegt und Dateien, Ordner und Netzwerkverbindungen hervorhebt. Dieses Bild stellt die Phase dar, in der Angreifer die Umgebung erkunden, um die Struktur zu verstehen und herauszufinden, wo sich wertvolle Daten befinden.
Entdeckung

FunkSec scannt infizierte Netzwerke, um wertvolle Dateien zu finden und die wichtigsten zu verschlüsselnden Daten zu ermitteln.

Eine Reihe miteinander verbundener Knotenpunkte, zwischen denen sich eine schemenhafte Gestalt heimlich bewegt. Dies veranschaulicht die Bewegungen des Angreifers innerhalb des Netzes, der versucht, die Kontrolle über weitere Systeme zu erlangen oder malware zu verbreiten.
Seitliche Bewegung

Sie verwenden HVNC-Tools (Hidden Virtual Network Computing) und Remote-Desktop-Exploits, um sich in kompromittierten Netzwerken zu bewegen.

Ein großer Staubsauger, der Dateien, Datensymbole und Ordner in einen Beutel aufsaugt, der von einer schemenhaften Gestalt gehalten wird. Dieses Bild symbolisiert den Prozess des Sammelns wertvoller Daten aus dem Zielnetzwerk.
Sammlung

Die Gruppe exfiltriert sensible Dateien mithilfe von benutzerdefinierten Python-Skripten und Standardtools wie Rclone, bevor sie die Daten der Opfer verschlüsselt.

Ein Eingabeaufforderungsfenster, das vor einem digitalen Hintergrund geöffnet ist und in das bösartiger Code eingegeben wird. Dies ist die Phase, in der die Angreifer ihre bösartige Nutzlast auf dem angegriffenen System ausführen.
Ausführung

Die auf Rust basierende ransomware verschlüsselt Dateien mit ChaCha20-Verschlüsselung, fügt die Erweiterung ".funksec" hinzu und hinterlässt eine Lösegeldforderung.

Eine Reihe von Dateien, die über einen verdeckten Kanal von einem Computer zu einem mit einem Totenkopf gekennzeichneten cloud geleitet werden, was die unautorisierte Übertragung von Daten an einen vom Angreifer kontrollierten Ort symbolisiert.
Exfiltration

Die gestohlenen Daten werden auf die Dark-Web-Leak-Site von FunkSec hochgeladen, wo sie entweder öffentlich zugänglich gemacht oder an Dritte verkauft werden.

Ein zerbrochener Bildschirm mit einer digitalen Stadtlandschaft im Chaos dahinter symbolisiert die zerstörerischen Auswirkungen des Cyberangriffs, wie z. B. Dienstunterbrechungen, Datenvernichtung oder finanzielle Verluste.
Auswirkungen

Die ransomware löscht Schattenkopien, unterbricht den Betrieb durch das Beenden von Prozessen und ändert die Systemeinstellungen (z. B. verdunkelt sie den Desktop-Hintergrund).

MITRE ATT&CK Kartierung

FunkSecs TTPs

TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
TA0002: Execution
T1204
User Execution
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
T1134
Access Token Manipulation
T1068
Exploitation for Privilege Escalation
TA0005: Defense Evasion
T1134
Access Token Manipulation
T1070
Indicator Removal
T1562
Impair Defenses
TA0006: Credential Access
T1110
Brute Force
T1003
OS Credential Dumping
TA0007: Discovery
T1082
System Information Discovery
T1046
Network Service Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
TA0040: Impact
T1490
Inhibit System Recovery
T1486
Data Encrypted for Impact
Plattform-Detektionen

Wie man FunkSec mit Vectra AI AI erkennt

Ransomware File Activity

Suspicious Port Scan

Suspicious Remote Desktop Protocol

Weitere Entdeckungen anzeigen
Bewerten Sie Ihr Angriffsrisiko

Häufig gestellte Fragen

Ist Ihr Unternehmen vor FunkSec sicher?

Bewerten Sie Ihr Angriffsrisiko