ファンクセック
FunkSecは、サイバー犯罪とハクティビズムを融合させた、AI支援型ランサムウェアグループの新しい波を象徴している。技術的な洗練度には疑問が残るものの、その手口と世間への認知度の高さから、注目すべき脅威となっています。セキュリティ・チームは、AI主導 malware トレンドを監視し、自動化と欺瞞戦術を活用したランサムウェア攻撃に備える必要がある。
ファンクセックの経歴
FunkSecは2024年後半に出現したランサムウェア・グループで、公に主張された被害者の数が多いことで急速に有名になりました。他の確立されたランサムウェア・ギャングとは異なり、FunkSecは比較的新しく独立した活動であり、以前のランサムウェア・ファミリーとのつながりは知られていない。このグループは、データの暗号化とデータの窃盗を組み合わせた二重の恐喝戦術を駆使し、被害者に身代金の支払いを迫っている。
FunkSecの主な特徴は、AIが支援するmalware 開発であり、経験の浅いアクターでも悪意のあるツールを迅速に作成し、反復することができる。このグループは、ハクティビズムとサイバー犯罪の交差点で活動しているように見え、その真の動機を特定するのは困難である。リークされたデータセットの中には、過去のハクティビスト・キャンペーンから再利用されたものもあり、彼らの情報開示の信憑性に疑問が投げかけられている。
FunkSecは自らを洗練されたランサムウェア・アズ・ア・サービス(RaaS)活動として見せているが、セキュリティ研究者は、このグループの技術的専門知識が限定的であることを示す複数の兆候を確認している。身代金要求額の低さやサイバー犯罪フォーラムでの宣伝活動からも明らかなように、彼らの活動のほとんどは、金銭的な利益よりもむしろ悪評を得たいという欲求によって引き起こされているようです。
ソース チェックポイント
ターゲット
ファンクセックのターゲット
対象国
FunkSecが主張する被害者の大半はインドと米国で、欧州と中東の組織を標的にした攻撃もある。彼らの「フリー・パレスチナ」運動との連携は、地政学的な動機の可能性を示唆しているが、これは実際の政治的意図というよりもブランディングのためかもしれない。
対象産業
FunkSecは特定の業界に特化しているようには見えないが、政府機関、ヘルスケア、金融サービス、テクノロジー企業を攻撃している。同グループのランサムウェア・アズ・ア・サービス(RaaS)モデルは、複数の関連会社がツールを使用することを可能にし、潜在的な被害者の範囲を広げている。標的となる業界の中には、ハクティビストの動機と一致するものもあり、特に政府機関やインフラが多い。
画像ソース PCrisk
対象産業
FunkSecは特定の業界に特化しているようには見えないが、政府機関、ヘルスケア、金融サービス、テクノロジー企業を攻撃している。同グループのランサムウェア・アズ・ア・サービス(RaaS)モデルは、複数の関連会社がツールを使用することを可能にし、潜在的な被害者の範囲を広げている。標的となる業界の中には、ハクティビストの動機と一致するものもあり、特に政府機関やインフラが多い。
画像ソース PCrisk
注目すべき犠牲者
推定138の組織がFunkSec攻撃の餌食になっている。
攻撃方法
ファンクセックの攻撃方法
FunkSecは、phishing 、クレデンシャル・スタッフィング、公開されたシステムのパッチ未適用の脆弱性を悪用することでアクセスを得ている。彼らはまた、ダークウェブのフォーラムで発見された盗まれた認証情報を活用します。
このグループは、クレデンシャル盗難技術、トークン操作、Windows環境の設定ミスの悪用などを用いて特権の昇格を試みる。
FunkSecはWindows Defender、イベントロギング、PowerShellのセキュリティ機能を無効にして検知を回避する。彼らのランサムウェアはRustでコンパイルされているため、解析や検出が難しくなっています。
彼らはキーロガーや、侵害されたシステムやウェブサイトから認証情報を収集するfunkgenerateのようなパスワードスクラピングツールを導入している。
FunkSecは感染したネットワークをスキャンして貴重なファイルを探し出し、暗号化すべき最も重要な資産を特定します。
彼らはHVNC(hidden virtual network computing)ツールやリモートデスクトップを悪用して、侵害されたネットワーク上を移動する。
このグループは、被害者のデータを暗号化する前に、カスタムのPythonスクリプトや Rcloneのような標準ツールを使って機密ファイルを流出させる。
Rustベースのこのランサムウェアは、ChaCha20暗号化を使ってファイルを暗号化し、拡張子「.funksec」を付加し、身代金のメモを投函します。
盗まれたデータはFunkSecのダークウェブ・リークサイトにアップロードされ、そこで一般に公開されるか、第三者に売却される。
このランサムウェアは、シャドウコピーを削除し、プロセスを終了させて操作を妨害し、システム設定を変更する(デスクトップの背景を黒くするなど)。
初期アクセス
FunkSecは、phishing 、クレデンシャル・スタッフィング、公開されたシステムのパッチ未適用の脆弱性を悪用することでアクセスを得ている。彼らはまた、ダークウェブのフォーラムで発見された盗まれた認証情報を活用します。
特権エスカレーション
このグループは、クレデンシャル盗難技術、トークン操作、Windows環境の設定ミスの悪用などを用いて特権の昇格を試みる。
防御回避
FunkSecはWindows Defender、イベントロギング、PowerShellのセキュリティ機能を無効にして検知を回避する。彼らのランサムウェアはRustでコンパイルされているため、解析や検出が難しくなっています。
クレデンシャル・アクセス
彼らはキーロガーや、侵害されたシステムやウェブサイトから認証情報を収集するfunkgenerateのようなパスワードスクラピングツールを導入している。
ディスカバリー
FunkSecは感染したネットワークをスキャンして貴重なファイルを探し出し、暗号化すべき最も重要な資産を特定します。
横の動き
彼らはHVNC(hidden virtual network computing)ツールやリモートデスクトップを悪用して、侵害されたネットワーク上を移動する。
コレクション
このグループは、被害者のデータを暗号化する前に、カスタムのPythonスクリプトや Rcloneのような標準ツールを使って機密ファイルを流出させる。
実行
Rustベースのこのランサムウェアは、ChaCha20暗号化を使ってファイルを暗号化し、拡張子「.funksec」を付加し、身代金のメモを投函します。
データ流出
盗まれたデータはFunkSecのダークウェブ・リークサイトにアップロードされ、そこで一般に公開されるか、第三者に売却される。
インパクト
このランサムウェアは、シャドウコピーを削除し、プロセスを終了させて操作を妨害し、システム設定を変更する(デスクトップの背景を黒くするなど)。
MITRE ATT&CK マッピング
ファンクセックのTTP
TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
TA0002: Execution
T1204
User Execution
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
T1134
Access Token Manipulation
T1068
Exploitation for Privilege Escalation
TA0005: Defense Evasion
T1134
Access Token Manipulation
T1070
Indicator Removal
T1562
Impair Defenses
TA0006: Credential Access
T1110
Brute Force
T1003
OS Credential Dumping
TA0007: Discovery
T1082
System Information Discovery
T1046
Network Service Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
TA0040: Impact
T1490
Inhibit System Recovery
T1486
Data Encrypted for Impact
プラットフォーム検出