Operaciones de FunkSec RaaS: Combinando Hacktivismo y Ciberdelincuencia
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
FunkSec es un grupo de ransomware como servicio que surgió a finales de 2024, reportando muchas víctimas mientras exigía pequeños rescates. Su malware basado en Rust cifra datos con el cifrado ChaCha20 y agrega la extensión .funksec a los archivos afectados. Más allá del ransomware, el equipo distribuye herramientas auxiliares para DDoS, acceso a escritorio remoto y generación de credenciales. FunkSec combina la retórica hacktivista con la extorsión financiera.
Investigación
El análisis describe cómo los operadores utilizan modelos grandes de lenguaje para redactar código y comunicaciones, usan PowerShell para la escalada de privilegios y neutralizan los controles de seguridad antes de la encriptación. Enumera procesos y servicios terminados, describe el flujo de trabajo de encriptación y resume la estructura de la nota de rescate, incluyendo una dirección de pago en Bitcoin. Componentes adicionales—FDDOS, JQRAXY_HVNC y funkgenerate—están documentados como parte del conjunto de herramientas más amplio.
Mitigación
Los defensores deben endurecer las políticas de ejecución de PowerShell, observar los esfuerzos para deshabilitar Windows Defender o eliminar copias de seguridad, y prevenir el lanzamiento de procesos maliciosos conocidos. Ejecutar simulaciones de FunkSec en plataformas de validación de seguridad puede ayudar a exponer brechas de control. Mantenga el contenido de detección actualizado para los procesos y servicios reportados para permitir una identificación temprana.
Respuesta
Si se detecta actividad, aísle el host impactado, confirme la extensión .funksec y recolecte evidencia volátil. Active libros de jugadas de respuesta a incidentes, recupere de respaldos y busque indicadores como comandos específicos de PowerShell y texto de las notas de rescate. Utilice inteligencia de amenazas para monitorear y correlacionar la infraestructura relacionada.
Flujo de Ataque
Detecciones
Preparación de Pre-Enciptación de PowerShell Posible (RunAs + Inhibición de Recuperación) (via PowerShell)
Ver
Posible Enumeración de Cuenta o Grupo (via cmdline)
Ver
Posible Actividad de Evasión de Defensa por Uso Sospechoso de Wevtutil (via cmdline)
Ver
Cambios Sospechosos en las Preferencias de Windows Defender (via powershell)
Ver
Actividad Sospechosa de VSSADMIN (via cmdline)
Ver
Deshabilitar Monitoreo en Tiempo Real de Windows Defender (via powershell)
Ver
IOCs (Emails) para detectar: Operaciones de FunkSec RaaS: Hacktivismo se Encuentra con el Cibercrimen
Ver
FunkSec Ransomware: Desactivar Comandos de Defensa del Sistema [Windows Powershell]
Ver
Detectar Escalada de FunkSec Ransomware y Eliminación de Copias de Sombra [Creación de Procesos de Windows]
Ver
Ejecución de Simulación
Prerrequisito: La Verificación Previa de Telemetría y Línea de Base debe haber pasado.
Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa del Ataque y Comandos:
- Elevar la carga útil del ransomware: El atacante usa PowerShell
Start-Process -Verb runaspara re‑ejecutar el script malicioso (FunkSec.exe) con derechos de administrador, coincidiendo con el patrón de la línea de comando que observa la regla. - Eliminar todas las copias de sombra: Inmediatamente después de la elevación, el atacante ejecuta
vssadmin delete shadows /all /quietpara borrar puntos de restauración del sistema, satisfaciendo la segunda condición de la regla. - Ambos comandos son ejecutados en rápida sucesión desde el mismo contexto de usuario, asegurando que aparezcan dentro de la ventana de correlación de la regla Sigma.
- Elevar la carga útil del ransomware: El atacante usa PowerShell
-
Script de Prueba de Regresión: El script a continuación reproduce el comportamiento exacto. Ejecútelo en un host de Windows con la configuración de registro descrita anteriormente.
# ============================== # Simulación de Escalada y Eliminación de Copias de Sombra de FunkSec Ransomware # ============================== # 1. Defina la ruta al binario malicioso (ficticio). $maliciousExe = "$env:ProgramDataFunkSec.exe" # Cree un archivo ficticio para actuar como la carga útil del ransomware. New-Item -Path $maliciousExe -ItemType File -Force | Out-Null # 2. Reinicie la carga útil ficticia con privilegios elevados. $elevatedCmd = "Start-Process -Wait -Verb runas -FilePath `"$maliciousExe`" -ArgumentList ''" Write-Host "Ejecutando lanzamiento elevado..." Invoke-Expression $elevatedCmd # 3. Eliminar todas las copias de sombra de volumen. Write-Host "Eliminando todas las copias de sombra..." vssadmin delete shadows /all /quiet # Limpiar la carga útil ficticia (opcional, para higiene de prueba) Remove-Item -Path $maliciousExe -Force -
Comandos de Limpieza: Elimine cualquier artefacto creado durante la simulación.
# Asegúrese de que el ejecutable ficticio haya desaparecido $maliciousExe = "$env:ProgramDataFunkSec.exe" if (Test-Path $maliciousExe) { Remove-Item -Path $maliciousExe -Force } # Verifique que no queden restos de eliminación de copias de sombra – (no se necesita acción ya que vssadmin no mantiene estados) Write-Host "Limpieza completa."