SOC Prime Bias: Élevé

17 Dec 2025 13:49 UTC

Opérations RaaS de FunkSec : Mélange d’Hacktivisme et de Cybercriminalité

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Suivre
Opérations RaaS de FunkSec : Mélange d’Hacktivisme et de Cybercriminalité
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

FunkSec est un groupe de ransomware-as-a-service apparu fin 2024, revendiquant de nombreuses victimes tout en exigeant de petites rançons. Son malware basé sur Rust chiffre les données avec le chiffrement ChaCha20 et ajoute l’extension .funksec aux fichiers affectés. Au-delà des ransomwares, l’équipe diffuse des outils auxiliaires pour le DDoS, l’accès à distance au bureau et la génération d’identifiants. FunkSec associe une rhétorique hacktiviste à de l’extorsion financière.

Enquête

L’analyse décrit comment les opérateurs utilisent des modèles de langage de grande taille pour rédiger du code et des communications, utilisent PowerShell pour l’escalade des privilèges, et neutralisent les contrôles de sécurité avant le chiffrement. Elle énumère les processus et services terminés, décrit le flux de travail de chiffrement et résume la structure de la note de rançon, y compris une adresse de paiement Bitcoin. Des composants supplémentaires — FDDOS, JQRAXY_HVNC, et funkgenerate — sont documentés dans le cadre de l’outillage plus vaste.

Atténuation

Les défenseurs doivent resserrer les politiques d’exécution PowerShell, surveiller les tentatives de désactivation de Windows Defender ou de suppression de copies de sauvegarde, et empêcher le lancement de processus malveillants connus. Exécuter des simulations de FunkSec dans des plateformes de validation de sécurité peut aider à révéler les lacunes de contrôle. Garder le contenu de détection à jour pour les terminaisons de processus et de services notées permet une identification plus précoce.

Réponse

Si une activité est détectée, mettre en quarantaine l’hôte impacté, confirmer l’extension .funksec et collecter les preuves volatiles. Déclencher les playbooks de réponse aux incidents, restaurer à partir de sauvegardes, et rechercher des indicateurs tels que des commandes PowerShell spécifiques et le texte de la note de rançon. Utiliser l’intelligence des menaces pour surveiller et corréler l’infrastructure connexe.

Flux d’attaque

Exécution de simulation

Prérequis : La vérification pré-vol du Télémétrie & Baseline doit avoir réussi.

Raisonnement : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTP identifiés et viser à générer exactement la télémétrie attendue par la logique de détection.

  • Narratif de l’attaque & Commandes :

    1. Élever la charge utile du ransomware : L’attaquant utilise la fonction de PowerShell Start-Process -Verb runas pour ré-exécuter le script malveillant (FunkSec.exe) avec des droits d’administrateur, correspondant au modèle de ligne de commande que la règle surveille.
    2. Supprimer toutes les copies d’ombre : Immédiatement après l’élévation, l’attaquant exécute vssadmin delete shadows /all /quiet pour effacer les points de restauration système, satisfaisant la deuxième condition de la règle.
    3. Les deux commandes sont exécutées rapidement dans le même contexte utilisateur, s’assurant qu’elles apparaissent dans la fenêtre de corrélation de la règle Sigma.
  • Script de test de régression : Le script ci-dessous reproduit exactement le comportement. Exécutez-le sur un hôte Windows avec la configuration de journalisation décrite précédemment.

    # ==============================
    # Simulation d'escalade de ransomware FunkSec & suppression de copie d'ombre
    # ==============================
    # 1. Définir le chemin vers le binaire malveillant (factice).
    $maliciousExe = "$env:ProgramDataFunkSec.exe"
    # Créer un fichier factice pour agir comme charge utile du ransomware.
    New-Item -Path $maliciousExe -ItemType File -Force | Out-Null
    
    # 2. Relancer la charge utile factice avec des privilèges élevés.
    $elevatedCmd = "Start-Process -Wait -Verb runas -FilePath `"$maliciousExe`" -ArgumentList ''"
    Write-Host "Execution de lancement élevé..."
    Invoke-Expression $elevatedCmd
    
    # 3. Supprimer toutes les copies de volume shadow.
    Write-Host "Suppression de toutes les copies d'ombre..."
    vssadmin delete shadows /all /quiet
    
    # Nettoyer la charge utile factice (optionnel, pour l'hygiène du test)
    Remove-Item -Path $maliciousExe -Force
  • Commandes de nettoyage : Supprimer tous les artefacts créés lors de la simulation.

    # Assurez-vous que l'exécutable factice est parti
    $maliciousExe = "$env:ProgramDataFunkSec.exe"
    if (Test-Path $maliciousExe) { Remove-Item -Path $maliciousExe -Force }
    
    # Vérifiez qu'il ne reste aucun résidu de suppression de copie d'ombre – (aucune action requise car vssadmin est sans état)
    Write-Host "Nettoyage terminé."