Alors que se tient actuellement à Madrid l’événement Kaspersky Horizons, les experts de l'équipe de recherche et d'analyse mondiale de Kaspersky (GReAT) ont révélé les rouages de FunkSec, un groupe de ransomwares qui illustre l'avenir de la cybercriminalité de masse. Celui-ci est alimenté par l’IA, multifonctionnel, hautement adaptatif et fonctionne en volume avec des rançons aussi basses que 10 000 dollars afin de maximiser les profits.
Le GReAT de Kaspersky surveille en permanence le paysage des menaces liées aux ransomwares, dont les attaques ne cessent d'augmenter. Selon le dernier rapport State of Ransomware de l'entreprise, la part des utilisateurs touchés par des attaques de ransomware dans le monde est passée à 0,44 % entre 2023 et 2024, soit une augmentation de 0,02 point de pourcentage. Si ce pourcentage peut sembler modeste par rapport à d'autres cybermenaces, il reflète le fait que les attaquants privilégient généralement les cibles de grande valeur plutôt que la distribution de masse, ce qui rend chaque incident potentiellement dévastateur. Dans ce paysage en évolution, FunkSec est apparu comme une menace particulièrement préoccupante.
Actif pendant moins d'un an depuis son apparition fin 2024, FunkSec a rapidement surpassé de nombreux acteurs établis en ciblant des secteurs gouvernementaux, technologiques, financiers et éducatifs à travers l'Europe et l'Asie.
FunkSec se distingue par son architecture technique sophistiquée et son développement assisté par l'IA. Le groupe combine le chiffrement à grande échelle et l'exfiltration agressive de données en un seul exécutable basé sur Rust, capable de désactiver plus de 50 processus sur les machines des victimes et doté de fonctions d'auto-nettoyage pour échapper aux défenses. Au-delà de sa fonctionnalité principale de ransomware, FunkSec a élargi sa boîte à outils pour inclure un générateur de mots de passe et un outil DDoS de base, tous deux montrant des signes évidents de synthèse de code à l'aide de grands modèles de langage (LLM).
L'approche de FunkSec reflète l'évolution du paysage de la cybercriminalité de masse, en combinant des outils et des tactiques avancés. Les experts du GReAT de Kaspersky soulignent les caractéristiques clés qui définissent leurs opérations :
Fonctionnalité contrôlée par mot de passe
Les experts du GReAT ont découvert que le ransomware FunkSec est doté d'un mécanisme unique basé sur un mot de passe qui contrôle ses modes de fonctionnement. Sans mot de passe, le logiciel malveillant effectue un chiffrement de base des fichiers, tandis qu'en fournissant un mot de passe, il active un processus d'exfiltration des données plus agressif, en plus du chiffrement pour voler les données sensibles.
FunkSec intègre le chiffrement intégral, l'exfiltration locale et l'auto-nettoyage dans un seul binaire Rust, sans chargeur latéral ni script d'accompagnement. Ce niveau de consolidation est peu courant et donne aux affiliés un outil prêt à l'emploi qu'ils peuvent déployer presque n'importe où.
Utilisation de l'IA dans le développement
L'analyse du code montre que FunkSec utilise activement l'intelligence artificielle générative pour créer ses outils. De nombreuses parties du code semblent être générées automatiquement plutôt que rédigées manuellement. Cela se traduit par des commentaires génériques (tels que "placeholder for actual check") et des incohérences techniques, comme les commandes pour différents systèmes d'exploitation qui ne s'alignent pas correctement. En outre, la présence de fonctions déclarées mais inutilisées - telles que des modules inclus dès le départ mais jamais utilisés - reflète la façon dont les grands modèles de langage combinent de multiples extraits de code sans élaguer les éléments redondants.
"Nous voyons de plus en plus de cybercriminels utiliser l'IA pour développer des outils malveillants. L'IA générative abaisse les barrières et accélère la création de logiciels malveillants, ce qui permet aux cybercriminels d'adapter leurs tactiques plus rapidement. En réduisant le seuil d'entrée, l'IA permet aux attaquants les moins expérimentés de développer rapidement des logiciels malveillants sophistiqués à grande échelle", commente Marc Rivero, chercheur principal en sécurité au GReAT de Kaspersky.
Stratégie de volume élevé et faible rançon
FunkSec demande des rançons inhabituellement basses, parfois de l'ordre de 10 000 dollars, et les associe à la vente de données volées à prix réduits à des tiers. Cette stratégie semble conçue pour permettre un volume élevé d'attaques, ce qui aide le groupe à établir rapidement sa réputation dans le milieu de la cybercriminalité. Contrairement aux groupes de ransomware traditionnels qui cherchent à obtenir des rançons d'un million de dollars, FunkSec utilise un modèle à haute fréquence et à faible coût, ce qui souligne encore davantage son utilisation de l'IA pour rationaliser et étendre ses opérations.
Extension au-delà des ransomwares
FunkSec a étendu ses capacités au-delà du ransomware binaire. Son dark leak site (DLS) héberge des outils supplémentaires, notamment un générateur de mots de passe basé sur Python conçu pour soutenir les attaques par force brute et par pulvérisation de mots de passe, ainsi qu'un outil DDoS de base.
Évasion avancée
FunkSec utilise des techniques d'évasion avancées pour éviter la détection et compliquer l'analyse médico-légale. Le ransomware est capable d'arrêter plus de 50 processus et services afin de garantir un chiffrement complet des fichiers ciblés. En outre, il comprend un mécanisme de repli permettant d'exécuter certaines commandes même si l'utilisateur qui lance FunkSec n'a pas les privilèges suffisants.
Les produits Kaspersky détectent cette menace sous le nom de HEUR:Trojan-Ransom.Win64.Generic.
Pour se prémunir contre les attaques de ransomware, les experts de Kaspersky recommandent aux organisations de suivre ces bonnes pratiques :
· Activez la protection contre les ransomwares pour tous les terminaux. Il existe un outil Kaspersky Anti-Ransomware Tool for Business gratuit qui protège les ordinateurs et les serveurs contre les ransomwares et d'autres types de logiciels malveillants, empêche les exploits et est compatible avec les solutions de sécurité déjà installées.
· Maintenez toujours les logiciels à jour sur tous les appareils que vous utilisez afin d'empêcher les attaquants d'exploiter les vulnérabilités et d'infiltrer votre réseau.
· Concentrez votre stratégie de défense sur la détection des mouvements latéraux et l'exfiltration des données vers l'internet. Accordez une attention particulière au trafic sortant afin de détecter les connexions des cybercriminels à votre réseau. Mettez en place des sauvegardes hors ligne que les intrus ne peuvent pas altérer. Assurez-vous de pouvoir y accéder rapidement en cas de besoin ou d'urgence.
· Installez des solutions anti-APT et EDR, permettant de la découverte et de la détection avancées des menaces, de l'investigation et de la réponse rapide à incidents. Fournissez à votre équipe SOC l'accès aux dernières informations sur les menaces et formez-la régulièrement à l'aide d'une formation professionnelle. Tous ces éléments sont disponibles dans le cadre de Kaspersky Expert Security.
· Suivez les dernières informations sur les menaces pour rester au courant des tactiques, techniques et procédures (TTP) utilisées par les acteurs de la menace.
· Pour protéger l'entreprise contre un large éventail de menaces, utilisez les solutions de la ligne de produits Kaspersky Next qui offrent une protection en temps réel, une visibilité sur les menaces, des capacités d'investigation et de réponse EDR et XDR pour les organisations de toute taille et de tout secteur d'activité. En fonction de vos besoins actuels et des ressources disponibles, vous pouvez choisir le niveau de produit le plus pertinent et migrer facilement vers un autre niveau si vos exigences en matière de cybersécurité évoluent.
