SOC Prime Bias: Alto

17 Dic 2025 16:49
newspaper icon picussecurity.com

Operazioni RaaS di FunkSec: Combinazione di Hacktivismo e Crimine Informatico

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
Operazioni RaaS di FunkSec: Combinazione di Hacktivismo e Crimine Informatico
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Sintesi

FunkSec è un gruppo ransomware-as-a-service emerso alla fine del 2024, riportando molte vittime mentre chiedeva piccoli riscatti. Il suo malware basato su Rust cripta i dati con il cifrario ChaCha20 e aggiunge l’estensione .funksec ai file colpiti. Oltre al ransomware, il gruppo distribuisce strumenti ausiliari per DDoS, accesso desktop remoto e generazione di credenziali. FunkSec combina retorica attivista con estorsione finanziaria.

Indagine

L’analisi descrive come gli operatori utilizzano modelli di linguaggio avanzati per redigere codice e comunicazioni, utilizzano PowerShell per l’escalation dei privilegi e neutralizzano i controlli di sicurezza prima della crittografia. Vengono elencati processi e servizi interrotti, delineato il flusso di lavoro di crittografia e riassunta la struttura della nota di riscatto, incluso un indirizzo di pagamento Bitcoin. Componenti aggiuntivi — FDDOS, JQRAXY_HVNC e funkgenerate — sono documentati come parte del kit più ampio.

Mitigazione

I difensori dovrebbero restringere le politiche di esecuzione di PowerShell, monitorare i tentativi di disabilitare Windows Defender o rimuovere le copie shadow e prevenire l’avvio di processi noti come dannosi. Eseguire simulazioni di FunkSec su piattaforme di validazione della sicurezza può aiutare a esporre le lacune di controllo. Mantenere aggiornato il contenuto di rilevamento per i processi e i servizi terminati indicati per abilitare un’identificazione precoce.

Risposta

Se viene rilevata un’attività, isolare l’host impattato, confermare l’estensione .funksec e raccogliere prove volatili. Attivare i playbook di risposta agli incidenti, recuperare dai backup e cercare indicatori come comandi specifici di PowerShell e testo della nota di riscatto. Utilizzare l’intelligence sulle minacce per monitorare e correlare le infrastrutture correlate.

graph TB %% Definizioni delle classi classDef action fill:#99ccff classDef operator fill:#ff9900 classDef builtin fill:#cccccc %% Nodi action_check_privileges[“<b>Azione</b> – Verifica dei privilegi (net session)<br/><b>Tecnica</b> – T1087 (Scoperta degli account)<br/>Determinare se l’utente corrente dispone di privilegi amministrativi”] class action_check_privileges action action_elevate[“<b>Azione</b> – Elevazione con PowerShell<br/><b>Tecnica</b> – T1548.002<br/>Aggirare il Controllo dell’Account Utente per ottenere privilegi di amministratore”] class action_elevate action action_disable_defender[“<b>Azione</b> – Disabilitare Windows Defender<br/><b>Tecnica</b> – T1562.001<br/>Compromettere le difese disattivando l’antivirus integrato”] class action_disable_defender action action_disable_logging[“<b>Azione</b> – Disabilitare la registrazione degli eventi e cancellare i log<br/><b>Tecniche</b> – T1562.002, T1070.001<br/>Arrestare il servizio Windows Event Log ed eliminare le voci di log esistenti”] class action_disable_logging action action_delete_shadow[“<b>Azione</b> – Eliminare le Copie Shadow del Volume<br/><b>Tecnica</b> – T1490<br/>Rimuovere i punti di ripristino per impedire il ripristino del sistema”] class action_delete_shadow action action_terminate_processes[“<b>Azione</b> – Terminare i processi di sicurezza/Office<br/><b>Tecniche</b> – T1059.001, T1059.003<br/>Utilizzare PowerShell e il Prompt dei Comandi di Windows per terminare i binari di Defender e Office”] class action_terminate_processes action action_encrypt[“<b>Azione</b> – Crittografare i file (ChaCha20)<br/><b>Tecnica</b> – T1486<br/>Crittografare i dati della vittima per richiedere un riscatto”] class action_encrypt action action_exfiltrate[“<b>Azione</b> – Esfiltrare i dati tramite C2<br/><b>Tecnica</b> – T1041<br/>Inviare i file raccolti attraverso il canale di commandu2011andu2011control”] class action_exfiltrate action action_drop_note[“<b>Azione</b> – Rilasciare la nota di riscatto”] class action_drop_note action action_ddos[“<b>Azione</b> – DDoS opzionale con FDDOS<br/><b>Tecniche</b> – T1498, T1499.002<br/>Lanciare attacchi di flood contro la rete bersaglio”] class action_ddos action %% Connessioni action_check_privileges u002du002d>|senza admin| action_elevate action_elevate u002du002d>|usa| action_disable_defender action_disable_defender u002du002d>|porta a| action_disable_logging action_disable_logging u002du002d>|porta a| action_delete_shadow action_delete_shadow u002du002d>|porta a| action_terminate_processes action_terminate_processes u002du002d>|porta a| action_encrypt action_encrypt u002du002d>|porta a| action_exfiltrate action_exfiltrate u002du002d>|porta a| action_drop_note action_drop_note u002du002d>|opzionale| action_ddos

Attack Flow

Simulation Execution

Prerequisite: The Telemetry & Baseline Pre‑flight Check must have passed.

Rationale: This section details the precise execution of the adversary technique (TTP) designed to trigger the detection rule. The commands and narrative MUST directly reflect the TTPs identified and aim to generate the exact telemetry expected by the detection logic.

  • Attack Narrative & Commands:

    1. Elevate the ransomware payload: The attacker uses PowerShell’s Start-Process -Verb runas to re‑execute the malicious script (FunkSec.exe) with administrator rights, matching the command‑line pattern the rule watches.
    2. Delete all shadow copies: Immediately after elevation, the attacker runs vssadmin delete shadows /all /quiet to erase system restore points, satisfying the second condition of the rule.
    3. Both commands are executed in rapid succession from the same user context, ensuring they appear within the correlation window of the Sigma rule.

  • Regression Test Script: The script below reproduces the exact behavior. Run it on a Windows host with the logging configuration described earlier.

    # ==============================
# FunkSec Ransomware Escalation & Shadow Copy Deletion Simulation
# ==============================
# 1. Define path to the (dummy) malicious binary.
$maliciousExe = "$env:ProgramDataFunkSec.exe"
# Create a dummy file to act as the ransomware payload.
New-Item -Path $maliciousExe -ItemType File -Force | Out-Null

# 2. Relaunch the dummy payload with elevated privileges.
$elevatedCmd = "Start-Process -Wait -Verb runas -FilePath `"$maliciousExe`" -ArgumentList ''"
Write-Host "Executing elevated launch..."
Invoke-Expression $elevatedCmd

# 3. Delete all Volume Shadow Copies.
Write-Host "Deleting all shadow copies..."
vssadmin delete shadows /all /quiet

# Cleanup dummy payload (optional, for test hygiene)
Remove-Item -Path $maliciousExe -Force

  • Cleanup Commands: Remove any artifacts created during the simulation.

    # Ensure dummy executable is gone
$maliciousExe = "$env:ProgramDataFunkSec.exe"
if (Test-Path $maliciousExe) { Remove-Item -Path $maliciousExe -Force }

# Verify no lingering shadow copy delete remnants – (no action needed as vssadmin is stateless)
Write-Host "Cleanup complete."

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis