SOC Prime Bias: Alto

17 Dec 2025 13:49 UTC

Operaciones de FunkSec RaaS: Combinando Hacktivismo y Ciberdelincuencia

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Operaciones de FunkSec RaaS: Combinando Hacktivismo y Ciberdelincuencia
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

FunkSec es un grupo de ransomware como servicio que surgió a finales de 2024, reportando muchas víctimas mientras exigía pequeños rescates. Su malware basado en Rust cifra datos con el cifrado ChaCha20 y agrega la extensión .funksec a los archivos afectados. Más allá del ransomware, el equipo distribuye herramientas auxiliares para DDoS, acceso a escritorio remoto y generación de credenciales. FunkSec combina la retórica hacktivista con la extorsión financiera.

Investigación

El análisis describe cómo los operadores utilizan modelos grandes de lenguaje para redactar código y comunicaciones, usan PowerShell para la escalada de privilegios y neutralizan los controles de seguridad antes de la encriptación. Enumera procesos y servicios terminados, describe el flujo de trabajo de encriptación y resume la estructura de la nota de rescate, incluyendo una dirección de pago en Bitcoin. Componentes adicionales—FDDOS, JQRAXY_HVNC y funkgenerate—están documentados como parte del conjunto de herramientas más amplio.

Mitigación

Los defensores deben endurecer las políticas de ejecución de PowerShell, observar los esfuerzos para deshabilitar Windows Defender o eliminar copias de seguridad, y prevenir el lanzamiento de procesos maliciosos conocidos. Ejecutar simulaciones de FunkSec en plataformas de validación de seguridad puede ayudar a exponer brechas de control. Mantenga el contenido de detección actualizado para los procesos y servicios reportados para permitir una identificación temprana.

Respuesta

Si se detecta actividad, aísle el host impactado, confirme la extensión .funksec y recolecte evidencia volátil. Active libros de jugadas de respuesta a incidentes, recupere de respaldos y busque indicadores como comandos específicos de PowerShell y texto de las notas de rescate. Utilice inteligencia de amenazas para monitorear y correlacionar la infraestructura relacionada.

Flujo de Ataque

Ejecución de Simulación

Prerrequisito: La Verificación Previa de Telemetría y Línea de Base debe haber pasado.

Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección.

  • Narrativa del Ataque y Comandos:

    1. Elevar la carga útil del ransomware: El atacante usa PowerShell Start-Process -Verb runas para re‑ejecutar el script malicioso (FunkSec.exe) con derechos de administrador, coincidiendo con el patrón de la línea de comando que observa la regla.
    2. Eliminar todas las copias de sombra: Inmediatamente después de la elevación, el atacante ejecuta vssadmin delete shadows /all /quiet para borrar puntos de restauración del sistema, satisfaciendo la segunda condición de la regla.
    3. Ambos comandos son ejecutados en rápida sucesión desde el mismo contexto de usuario, asegurando que aparezcan dentro de la ventana de correlación de la regla Sigma.
  • Script de Prueba de Regresión: El script a continuación reproduce el comportamiento exacto. Ejecútelo en un host de Windows con la configuración de registro descrita anteriormente.

    # ==============================
    # Simulación de Escalada y Eliminación de Copias de Sombra de FunkSec Ransomware
    # ==============================
    # 1. Defina la ruta al binario malicioso (ficticio).
    $maliciousExe = "$env:ProgramDataFunkSec.exe"
    # Cree un archivo ficticio para actuar como la carga útil del ransomware.
    New-Item -Path $maliciousExe -ItemType File -Force | Out-Null
    
    # 2. Reinicie la carga útil ficticia con privilegios elevados.
    $elevatedCmd = "Start-Process -Wait -Verb runas -FilePath `"$maliciousExe`" -ArgumentList ''"
    Write-Host "Ejecutando lanzamiento elevado..."
    Invoke-Expression $elevatedCmd
    
    # 3. Eliminar todas las copias de sombra de volumen.
    Write-Host "Eliminando todas las copias de sombra..."
    vssadmin delete shadows /all /quiet
    
    # Limpiar la carga útil ficticia (opcional, para higiene de prueba)
    Remove-Item -Path $maliciousExe -Force
  • Comandos de Limpieza: Elimine cualquier artefacto creado durante la simulación.

    # Asegúrese de que el ejecutable ficticio haya desaparecido
    $maliciousExe = "$env:ProgramDataFunkSec.exe"
    if (Test-Path $maliciousExe) { Remove-Item -Path $maliciousExe -Force }
    
    # Verifique que no queden restos de eliminación de copias de sombra – (no se necesita acción ya que vssadmin no mantiene estados)
    Write-Host "Limpieza completa."