SOC Prime Bias: Élevé

17 Déc 2025 16:49
newspaper icon picussecurity.com

Opérations RaaS de FunkSec : Mélange d’Hacktivisme et de Cybercriminalité

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
Opérations RaaS de FunkSec : Mélange d’Hacktivisme et de Cybercriminalité
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Résumé

FunkSec est un groupe de ransomware-as-a-service apparu fin 2024, revendiquant de nombreuses victimes tout en exigeant de petites rançons. Son malware basé sur Rust chiffre les données avec le chiffrement ChaCha20 et ajoute l’extension .funksec aux fichiers affectés. Au-delà des ransomwares, l’équipe diffuse des outils auxiliaires pour le DDoS, l’accès à distance au bureau et la génération d’identifiants. FunkSec associe une rhétorique hacktiviste à de l’extorsion financière.

Enquête

L’analyse décrit comment les opérateurs utilisent des modèles de langage de grande taille pour rédiger du code et des communications, utilisent PowerShell pour l’escalade des privilèges, et neutralisent les contrôles de sécurité avant le chiffrement. Elle énumère les processus et services terminés, décrit le flux de travail de chiffrement et résume la structure de la note de rançon, y compris une adresse de paiement Bitcoin. Des composants supplémentaires — FDDOS, JQRAXY_HVNC, et funkgenerate — sont documentés dans le cadre de l’outillage plus vaste.

Atténuation

Les défenseurs doivent resserrer les politiques d’exécution PowerShell, surveiller les tentatives de désactivation de Windows Defender ou de suppression de copies de sauvegarde, et empêcher le lancement de processus malveillants connus. Exécuter des simulations de FunkSec dans des plateformes de validation de sécurité peut aider à révéler les lacunes de contrôle. Garder le contenu de détection à jour pour les terminaisons de processus et de services notées permet une identification plus précoce.

Réponse

Si une activité est détectée, mettre en quarantaine l’hôte impacté, confirmer l’extension .funksec et collecter les preuves volatiles. Déclencher les playbooks de réponse aux incidents, restaurer à partir de sauvegardes, et rechercher des indicateurs tels que des commandes PowerShell spécifiques et le texte de la note de rançon. Utiliser l’intelligence des menaces pour surveiller et corréler l’infrastructure connexe.

« graph TB %% Class Definitions classDef action fill:#99ccff classDef operator fill:#ff9900 classDef builtin fill:#cccccc %% Nodes action_check_privileges[« <b>Action</b> – Vérifier les privilèges (session réseau)<br/><b>Technique</b> – T1087 (Découverte de comptes)<br/>Déterminer si l’utilisateur actuel a des droits administratifs »] class action_check_privileges action action_elevate[« <b>Action</b> – Élever avec PowerShell<br/><b>Technique</b> – T1548.002<br/>Contourner le contrôle de compte utilisateur pour obtenir des privilèges admin »] class action_elevate action action_disable_defender[« <b>Action</b> – Désactiver Windows Defender<br/><b>Technique</b> – T1562.001<br/>Réduire les défenses en désactivant l’antivirus intégré »] class action_disable_defender action action_disable_logging[« <b>Action</b> – Désactiver la journalisation des événements & Effacer les journaux<br/><b>Techniques</b> – T1562.002, T1070.001<br/>Arrêter le service de journal des événements Windows et effacer les entrées de journal existantes »] class action_disable_logging action action_delete_shadow[« <b>Action</b> – Supprimer les copies de sauvegarde de volume<br/><b>Technique</b> – T1490<br/>Supprimer les points de récupération pour empêcher la restauration système »] class action_delete_shadow action action_terminate_processes[« <b>Action</b> – Terminer les processus de sécurité/bureau<br/><b>Techniques</b> – T1059.001, T1059.003<br/>Utiliser PowerShell et la ligne de commande Windows pour tuer les binaires de défense et Office »] class action_terminate_processes action action_encrypt[« <b>Action</b> – Chiffrer les fichiers (ChaCha20)<br/><b>Technique</b> – T1486<br/>Chiffrer les données de la victime pour exiger une rançon »] class action_encrypt action action_exfiltrate[« <b>Action</b> – Exfiltrer des données via C2<br/><b>Technique</b> – T1041<br/>Envoyer des fichiers récoltés via le canal de commande et de contrôle »] class action_exfiltrate action action_drop_note[« <b>Action</b> – Déposer la note de rançon »] class action_drop_note action action_ddos[« <b>Action</b> – Attaque DDoS optionnelle avec FDDOS<br/><b>Techniques</b> – T1498, T1499.002<br/>Lancer des attaques de type inondation contre le réseau cible »] class action_ddos action %% Connections action_check_privileges u002du002d>|no admin| action_elevate action_elevate u002du002d>|uses| action_disable_defender action_disable_defender u002du002d>|leads to| action_disable_logging action_disable_logging u002du002d>|leads to| action_delete_shadow action_delete_shadow u002du002d>|leads to| action_terminate_processes action_terminate_processes u002du002d>|leads to| action_encrypt action_encrypt u002du002d>|leads to| action_exfiltrate action_exfiltrate u002du002d>|leads to| action_drop_note action_drop_note u002du002d>|optional| action_ddos »

Flux d’attaque

Exécution de simulation

Prérequis : La vérification pré-vol du Télémétrie & Baseline doit avoir réussi.

Raisonnement : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTP identifiés et viser à générer exactement la télémétrie attendue par la logique de détection.

  • Narratif de l’attaque & Commandes :

    1. Élever la charge utile du ransomware : L’attaquant utilise la fonction de PowerShell Start-Process -Verb runas pour ré-exécuter le script malveillant (FunkSec.exe) avec des droits d’administrateur, correspondant au modèle de ligne de commande que la règle surveille.
    2. Supprimer toutes les copies d’ombre : Immédiatement après l’élévation, l’attaquant exécute vssadmin delete shadows /all /quiet pour effacer les points de restauration système, satisfaisant la deuxième condition de la règle.
    3. Les deux commandes sont exécutées rapidement dans le même contexte utilisateur, s’assurant qu’elles apparaissent dans la fenêtre de corrélation de la règle Sigma.

  • Script de test de régression : Le script ci-dessous reproduit exactement le comportement. Exécutez-le sur un hôte Windows avec la configuration de journalisation décrite précédemment.

    # ==============================
# Simulation d'escalade de ransomware FunkSec & suppression de copie d'ombre
# ==============================
# 1. Définir le chemin vers le binaire malveillant (factice).
$maliciousExe = "$env:ProgramDataFunkSec.exe"
# Créer un fichier factice pour agir comme charge utile du ransomware.
New-Item -Path $maliciousExe -ItemType File -Force | Out-Null

# 2. Relancer la charge utile factice avec des privilèges élevés.
$elevatedCmd = "Start-Process -Wait -Verb runas -FilePath `"$maliciousExe`" -ArgumentList ''"
Write-Host "Execution de lancement élevé..."
Invoke-Expression $elevatedCmd

# 3. Supprimer toutes les copies de volume shadow.
Write-Host "Suppression de toutes les copies d'ombre..."
vssadmin delete shadows /all /quiet

# Nettoyer la charge utile factice (optionnel, pour l'hygiène du test)
Remove-Item -Path $maliciousExe -Force

  • Commandes de nettoyage : Supprimer tous les artefacts créés lors de la simulation.

    # Assurez-vous que l'exécutable factice est parti
$maliciousExe = "$env:ProgramDataFunkSec.exe"
if (Test-Path $maliciousExe) { Remove-Item -Path $maliciousExe -Force }

# Vérifiez qu'il ne reste aucun résidu de suppression de copie d'ombre – (aucune action requise car vssadmin est sans état)
Write-Host "Nettoyage terminé."

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.

Inscrivez-vous gratuitement