SOC Prime Bias: Alto

17 Dic 2025 16:49
newspaper icon picussecurity.com

Operaciones de FunkSec RaaS: Combinando Hacktivismo y Ciberdelincuencia

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
Operaciones de FunkSec RaaS: Combinando Hacktivismo y Ciberdelincuencia
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumen

FunkSec es un grupo de ransomware como servicio que surgió a finales de 2024, reportando muchas víctimas mientras exigía pequeños rescates. Su malware basado en Rust cifra datos con el cifrado ChaCha20 y agrega la extensión .funksec a los archivos afectados. Más allá del ransomware, el equipo distribuye herramientas auxiliares para DDoS, acceso a escritorio remoto y generación de credenciales. FunkSec combina la retórica hacktivista con la extorsión financiera.

Investigación

El análisis describe cómo los operadores utilizan modelos grandes de lenguaje para redactar código y comunicaciones, usan PowerShell para la escalada de privilegios y neutralizan los controles de seguridad antes de la encriptación. Enumera procesos y servicios terminados, describe el flujo de trabajo de encriptación y resume la estructura de la nota de rescate, incluyendo una dirección de pago en Bitcoin. Componentes adicionales—FDDOS, JQRAXY_HVNC y funkgenerate—están documentados como parte del conjunto de herramientas más amplio.

Mitigación

Los defensores deben endurecer las políticas de ejecución de PowerShell, observar los esfuerzos para deshabilitar Windows Defender o eliminar copias de seguridad, y prevenir el lanzamiento de procesos maliciosos conocidos. Ejecutar simulaciones de FunkSec en plataformas de validación de seguridad puede ayudar a exponer brechas de control. Mantenga el contenido de detección actualizado para los procesos y servicios reportados para permitir una identificación temprana.

Respuesta

Si se detecta actividad, aísle el host impactado, confirme la extensión .funksec y recolecte evidencia volátil. Active libros de jugadas de respuesta a incidentes, recupere de respaldos y busque indicadores como comandos específicos de PowerShell y texto de las notas de rescate. Utilice inteligencia de amenazas para monitorear y correlacionar la infraestructura relacionada.

graph TB %% Definiciones de clases classDef action fill:#99ccff classDef operator fill:#ff9900 classDef builtin fill:#cccccc %% Nodos action_check_privileges[«<b>Acción</b> – Verificar privilegios (net session)<br/><b>Técnica</b> – T1087 (Descubrimiento de cuentas)<br/>Determinar si el usuario actual tiene privilegios administrativos»] class action_check_privileges action action_elevate[«<b>Acción</b> – Elevación con PowerShell<br/><b>Técnica</b> – T1548.002<br/>Eludir el Control de Cuentas de Usuario para obtener privilegios de administrador»] class action_elevate action action_disable_defender[«<b>Acción</b> – Deshabilitar Windows Defender<br/><b>Técnica</b> – T1562.001<br/>Deteriorar las defensas apagando el antivirus integrado»] class action_disable_defender action action_disable_logging[«<b>Acción</b> – Deshabilitar el registro de eventos y borrar registros<br/><b>Técnicas</b> – T1562.002, T1070.001<br/>Detener el servicio de Windows Event Log y eliminar las entradas de registro existentes»] class action_disable_logging action action_delete_shadow[«<b>Acción</b> – Eliminar copias de sombra de volumen<br/><b>Técnica</b> – T1490<br/>Eliminar puntos de recuperación para impedir la restauración del sistema»] class action_delete_shadow action action_terminate_processes[«<b>Acción</b> – Terminar procesos de seguridad/Office<br/><b>Técnicas</b> – T1059.001, T1059.003<br/>Usar PowerShell y el intérprete de comandos de Windows para finalizar binarios de Defender y Office»] class action_terminate_processes action action_encrypt[«<b>Acción</b> – Cifrar archivos (ChaCha20)<br/><b>Técnica</b> – T1486<br/>Cifrar los datos de la víctima para exigir un rescate»] class action_encrypt action action_exfiltrate[«<b>Acción</b> – Exfiltrar datos a través de C2<br/><b>Técnica</b> – T1041<br/>Enviar los archivos recolectados a través del canal de commandu2011andu2011control»] class action_exfiltrate action action_drop_note[«<b>Acción</b> – Depositar nota de rescate»] class action_drop_note action action_ddos[«<b>Acción</b> – DDoS opcional con FDDOS<br/><b>Técnicas</b> – T1498, T1499.002<br/>Lanzar ataques de inundación contra la red objetivo»] class action_ddos action %% Conexiones action_check_privileges u002du002d>|sin admin| action_elevate action_elevate u002du002d>|usa| action_disable_defender action_disable_defender u002du002d>|conduce a| action_disable_logging action_disable_logging u002du002d>|conduce a| action_delete_shadow action_delete_shadow u002du002d>|conduce a| action_terminate_processes action_terminate_processes u002du002d>|conduce a| action_encrypt action_encrypt u002du002d>|conduce a| action_exfiltrate action_exfiltrate u002du002d>|conduce a| action_drop_note action_drop_note u002du002d>|opcional| action_ddos

Flujo de Ataque

Ejecución de Simulación

Prerrequisito: La Verificación Previa de Telemetría y Línea de Base debe haber pasado.

Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección.

  • Narrativa del Ataque y Comandos:

    1. Elevar la carga útil del ransomware: El atacante usa PowerShell Start-Process -Verb runas para re‑ejecutar el script malicioso (FunkSec.exe) con derechos de administrador, coincidiendo con el patrón de la línea de comando que observa la regla.
    2. Eliminar todas las copias de sombra: Inmediatamente después de la elevación, el atacante ejecuta vssadmin delete shadows /all /quiet para borrar puntos de restauración del sistema, satisfaciendo la segunda condición de la regla.
    3. Ambos comandos son ejecutados en rápida sucesión desde el mismo contexto de usuario, asegurando que aparezcan dentro de la ventana de correlación de la regla Sigma.

  • Script de Prueba de Regresión: El script a continuación reproduce el comportamiento exacto. Ejecútelo en un host de Windows con la configuración de registro descrita anteriormente.

    # ==============================
# Simulación de Escalada y Eliminación de Copias de Sombra de FunkSec Ransomware
# ==============================
# 1. Defina la ruta al binario malicioso (ficticio).
$maliciousExe = "$env:ProgramDataFunkSec.exe"
# Cree un archivo ficticio para actuar como la carga útil del ransomware.
New-Item -Path $maliciousExe -ItemType File -Force | Out-Null

# 2. Reinicie la carga útil ficticia con privilegios elevados.
$elevatedCmd = "Start-Process -Wait -Verb runas -FilePath `"$maliciousExe`" -ArgumentList ''"
Write-Host "Ejecutando lanzamiento elevado..."
Invoke-Expression $elevatedCmd

# 3. Eliminar todas las copias de sombra de volumen.
Write-Host "Eliminando todas las copias de sombra..."
vssadmin delete shadows /all /quiet

# Limpiar la carga útil ficticia (opcional, para higiene de prueba)
Remove-Item -Path $maliciousExe -Force

  • Comandos de Limpieza: Elimine cualquier artefacto creado durante la simulación.

    # Asegúrese de que el ejecutable ficticio haya desaparecido
$maliciousExe = "$env:ProgramDataFunkSec.exe"
if (Test-Path $maliciousExe) { Remove-Item -Path $maliciousExe -Force }

# Verifique que no queden restos de eliminación de copias de sombra – (no se necesita acción ya que vssadmin no mantiene estados)
Write-Host "Limpieza completa."

Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.

Únase Gratis