Opérations RaaS de FunkSec : Mélange d’Hacktivisme et de Cybercriminalité
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
FunkSec est un groupe de ransomware-as-a-service apparu fin 2024, revendiquant de nombreuses victimes tout en exigeant de petites rançons. Son malware basé sur Rust chiffre les données avec le chiffrement ChaCha20 et ajoute l’extension .funksec aux fichiers affectés. Au-delà des ransomwares, l’équipe diffuse des outils auxiliaires pour le DDoS, l’accès à distance au bureau et la génération d’identifiants. FunkSec associe une rhétorique hacktiviste à de l’extorsion financière.
Enquête
L’analyse décrit comment les opérateurs utilisent des modèles de langage de grande taille pour rédiger du code et des communications, utilisent PowerShell pour l’escalade des privilèges, et neutralisent les contrôles de sécurité avant le chiffrement. Elle énumère les processus et services terminés, décrit le flux de travail de chiffrement et résume la structure de la note de rançon, y compris une adresse de paiement Bitcoin. Des composants supplémentaires — FDDOS, JQRAXY_HVNC, et funkgenerate — sont documentés dans le cadre de l’outillage plus vaste.
Atténuation
Les défenseurs doivent resserrer les politiques d’exécution PowerShell, surveiller les tentatives de désactivation de Windows Defender ou de suppression de copies de sauvegarde, et empêcher le lancement de processus malveillants connus. Exécuter des simulations de FunkSec dans des plateformes de validation de sécurité peut aider à révéler les lacunes de contrôle. Garder le contenu de détection à jour pour les terminaisons de processus et de services notées permet une identification plus précoce.
Réponse
Si une activité est détectée, mettre en quarantaine l’hôte impacté, confirmer l’extension .funksec et collecter les preuves volatiles. Déclencher les playbooks de réponse aux incidents, restaurer à partir de sauvegardes, et rechercher des indicateurs tels que des commandes PowerShell spécifiques et le texte de la note de rançon. Utiliser l’intelligence des menaces pour surveiller et corréler l’infrastructure connexe.
Flux d’attaque
Détections
Préparation possible de pré-chiffrement PowerShell (RunAs + Inhibition de récupération) (via PowerShell)
Voir
Énumération possible de comptes ou de groupes (via cmdline)
Voir
Activité possible d’évasion de défense par utilisation suspecte de Wevtutil (via cmdline)
Voir
Modifications suspectes des préférences Windows Defender (via Powershell)
Voir
Activité suspecte de VSSADMIN (via cmdline)
Voir
Désactiver la surveillance en temps réel de Windows Defender (via Powershell)
Voir
IOCs (E-mails) à détecter : Opérations FunkSec RaaS : Hacktivisme rencontre Cybercriminalité
Voir
FunkSec Ransomware : Désactivation des commandes de défense système [Windows Powershell]
Voir
Détecter l’escalade et la suppression de copie d’ombre FunkSec Ransomware [Création de processus Windows]
Voir
Exécution de simulation
Prérequis : La vérification pré-vol du Télémétrie & Baseline doit avoir réussi.
Raisonnement : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTP identifiés et viser à générer exactement la télémétrie attendue par la logique de détection.
-
Narratif de l’attaque & Commandes :
- Élever la charge utile du ransomware : L’attaquant utilise la fonction de PowerShell
Start-Process -Verb runaspour ré-exécuter le script malveillant (FunkSec.exe) avec des droits d’administrateur, correspondant au modèle de ligne de commande que la règle surveille. - Supprimer toutes les copies d’ombre : Immédiatement après l’élévation, l’attaquant exécute
vssadmin delete shadows /all /quietpour effacer les points de restauration système, satisfaisant la deuxième condition de la règle. - Les deux commandes sont exécutées rapidement dans le même contexte utilisateur, s’assurant qu’elles apparaissent dans la fenêtre de corrélation de la règle Sigma.
- Élever la charge utile du ransomware : L’attaquant utilise la fonction de PowerShell
-
Script de test de régression : Le script ci-dessous reproduit exactement le comportement. Exécutez-le sur un hôte Windows avec la configuration de journalisation décrite précédemment.
# ============================== # Simulation d'escalade de ransomware FunkSec & suppression de copie d'ombre # ============================== # 1. Définir le chemin vers le binaire malveillant (factice). $maliciousExe = "$env:ProgramDataFunkSec.exe" # Créer un fichier factice pour agir comme charge utile du ransomware. New-Item -Path $maliciousExe -ItemType File -Force | Out-Null # 2. Relancer la charge utile factice avec des privilèges élevés. $elevatedCmd = "Start-Process -Wait -Verb runas -FilePath `"$maliciousExe`" -ArgumentList ''" Write-Host "Execution de lancement élevé..." Invoke-Expression $elevatedCmd # 3. Supprimer toutes les copies de volume shadow. Write-Host "Suppression de toutes les copies d'ombre..." vssadmin delete shadows /all /quiet # Nettoyer la charge utile factice (optionnel, pour l'hygiène du test) Remove-Item -Path $maliciousExe -Force -
Commandes de nettoyage : Supprimer tous les artefacts créés lors de la simulation.
# Assurez-vous que l'exécutable factice est parti $maliciousExe = "$env:ProgramDataFunkSec.exe" if (Test-Path $maliciousExe) { Remove-Item -Path $maliciousExe -Force } # Vérifiez qu'il ne reste aucun résidu de suppression de copie d'ombre – (aucune action requise car vssadmin est sans état) Write-Host "Nettoyage terminé."