Operazioni RaaS di FunkSec: Combinazione di Hacktivismo e Crimine Informatico
Detection stack
- AIDR
- Alert
- ETL
- Query
Sintesi
FunkSec è un gruppo ransomware-as-a-service emerso alla fine del 2024, riportando molte vittime mentre chiedeva piccoli riscatti. Il suo malware basato su Rust cripta i dati con il cifrario ChaCha20 e aggiunge l’estensione .funksec ai file colpiti. Oltre al ransomware, il gruppo distribuisce strumenti ausiliari per DDoS, accesso desktop remoto e generazione di credenziali. FunkSec combina retorica attivista con estorsione finanziaria.
Indagine
L’analisi descrive come gli operatori utilizzano modelli di linguaggio avanzati per redigere codice e comunicazioni, utilizzano PowerShell per l’escalation dei privilegi e neutralizzano i controlli di sicurezza prima della crittografia. Vengono elencati processi e servizi interrotti, delineato il flusso di lavoro di crittografia e riassunta la struttura della nota di riscatto, incluso un indirizzo di pagamento Bitcoin. Componenti aggiuntivi — FDDOS, JQRAXY_HVNC e funkgenerate — sono documentati come parte del kit più ampio.
Mitigazione
I difensori dovrebbero restringere le politiche di esecuzione di PowerShell, monitorare i tentativi di disabilitare Windows Defender o rimuovere le copie shadow e prevenire l’avvio di processi noti come dannosi. Eseguire simulazioni di FunkSec su piattaforme di validazione della sicurezza può aiutare a esporre le lacune di controllo. Mantenere aggiornato il contenuto di rilevamento per i processi e i servizi terminati indicati per abilitare un’identificazione precoce.
Risposta
Se viene rilevata un’attività, isolare l’host impattato, confermare l’estensione .funksec e raccogliere prove volatili. Attivare i playbook di risposta agli incidenti, recuperare dai backup e cercare indicatori come comandi specifici di PowerShell e testo della nota di riscatto. Utilizzare l’intelligence sulle minacce per monitorare e correlare le infrastrutture correlate.
Attack Flow
Detections
Possible PowerShell Pre-Encryption Prep (RunAs + Recovery Inhibition) (via PowerShell)
View
Possible Account or Group Enumeration (via cmdline)
View
Possible Defense Evasion Activity By Suspicious Use of Wevtutil (via cmdline)
View
Windows Defender Preferences Suspicious Changes (via powershell)
View
Suspicious VSSADMIN Activity (via cmdline)
View
Disable Windows Defender Realtime Monitoring (via powershell)
View
IOCs (Emails) to detect: FunkSec RaaS Operations: Hacktivism Meets Cybercrime
View
FunkSec Ransomware: Disable System Defenses Commands [Windows Powershell]
View
Detect FunkSec Ransomware Escalation and Shadow Copy Deletion [Windows Process Creation]
View
Simulation Execution
Prerequisite: The Telemetry & Baseline Pre‑flight Check must have passed.
Rationale: This section details the precise execution of the adversary technique (TTP) designed to trigger the detection rule. The commands and narrative MUST directly reflect the TTPs identified and aim to generate the exact telemetry expected by the detection logic.
-
Attack Narrative & Commands:
- Elevate the ransomware payload: The attacker uses PowerShell’s
Start-Process -Verb runasto re‑execute the malicious script (FunkSec.exe) with administrator rights, matching the command‑line pattern the rule watches. - Delete all shadow copies: Immediately after elevation, the attacker runs
vssadmin delete shadows /all /quietto erase system restore points, satisfying the second condition of the rule. - Both commands are executed in rapid succession from the same user context, ensuring they appear within the correlation window of the Sigma rule.
- Elevate the ransomware payload: The attacker uses PowerShell’s
-
Regression Test Script: The script below reproduces the exact behavior. Run it on a Windows host with the logging configuration described earlier.
# ============================== # FunkSec Ransomware Escalation & Shadow Copy Deletion Simulation # ============================== # 1. Define path to the (dummy) malicious binary. $maliciousExe = "$env:ProgramDataFunkSec.exe" # Create a dummy file to act as the ransomware payload. New-Item -Path $maliciousExe -ItemType File -Force | Out-Null # 2. Relaunch the dummy payload with elevated privileges. $elevatedCmd = "Start-Process -Wait -Verb runas -FilePath `"$maliciousExe`" -ArgumentList ''" Write-Host "Executing elevated launch..." Invoke-Expression $elevatedCmd # 3. Delete all Volume Shadow Copies. Write-Host "Deleting all shadow copies..." vssadmin delete shadows /all /quiet # Cleanup dummy payload (optional, for test hygiene) Remove-Item -Path $maliciousExe -Force -
Cleanup Commands: Remove any artifacts created during the simulation.
# Ensure dummy executable is gone $maliciousExe = "$env:ProgramDataFunkSec.exe" if (Test-Path $maliciousExe) { Remove-Item -Path $maliciousExe -Force } # Verify no lingering shadow copy delete remnants – (no action needed as vssadmin is stateless) Write-Host "Cleanup complete."