SOC Prime Bias: Alto

17 Dec 2025 13:49 UTC

Operazioni RaaS di FunkSec: Combinazione di Hacktivismo e Crimine Informatico

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Segui
Operazioni RaaS di FunkSec: Combinazione di Hacktivismo e Crimine Informatico
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Sintesi

FunkSec è un gruppo ransomware-as-a-service emerso alla fine del 2024, riportando molte vittime mentre chiedeva piccoli riscatti. Il suo malware basato su Rust cripta i dati con il cifrario ChaCha20 e aggiunge l’estensione .funksec ai file colpiti. Oltre al ransomware, il gruppo distribuisce strumenti ausiliari per DDoS, accesso desktop remoto e generazione di credenziali. FunkSec combina retorica attivista con estorsione finanziaria.

Indagine

L’analisi descrive come gli operatori utilizzano modelli di linguaggio avanzati per redigere codice e comunicazioni, utilizzano PowerShell per l’escalation dei privilegi e neutralizzano i controlli di sicurezza prima della crittografia. Vengono elencati processi e servizi interrotti, delineato il flusso di lavoro di crittografia e riassunta la struttura della nota di riscatto, incluso un indirizzo di pagamento Bitcoin. Componenti aggiuntivi — FDDOS, JQRAXY_HVNC e funkgenerate — sono documentati come parte del kit più ampio.

Mitigazione

I difensori dovrebbero restringere le politiche di esecuzione di PowerShell, monitorare i tentativi di disabilitare Windows Defender o rimuovere le copie shadow e prevenire l’avvio di processi noti come dannosi. Eseguire simulazioni di FunkSec su piattaforme di validazione della sicurezza può aiutare a esporre le lacune di controllo. Mantenere aggiornato il contenuto di rilevamento per i processi e i servizi terminati indicati per abilitare un’identificazione precoce.

Risposta

Se viene rilevata un’attività, isolare l’host impattato, confermare l’estensione .funksec e raccogliere prove volatili. Attivare i playbook di risposta agli incidenti, recuperare dai backup e cercare indicatori come comandi specifici di PowerShell e testo della nota di riscatto. Utilizzare l’intelligence sulle minacce per monitorare e correlare le infrastrutture correlate.

Attack Flow

Simulation Execution

Prerequisite: The Telemetry & Baseline Pre‑flight Check must have passed.

Rationale: This section details the precise execution of the adversary technique (TTP) designed to trigger the detection rule. The commands and narrative MUST directly reflect the TTPs identified and aim to generate the exact telemetry expected by the detection logic.

  • Attack Narrative & Commands:

    1. Elevate the ransomware payload: The attacker uses PowerShell’s Start-Process -Verb runas to re‑execute the malicious script (FunkSec.exe) with administrator rights, matching the command‑line pattern the rule watches.
    2. Delete all shadow copies: Immediately after elevation, the attacker runs vssadmin delete shadows /all /quiet to erase system restore points, satisfying the second condition of the rule.
    3. Both commands are executed in rapid succession from the same user context, ensuring they appear within the correlation window of the Sigma rule.
  • Regression Test Script: The script below reproduces the exact behavior. Run it on a Windows host with the logging configuration described earlier.

    # ==============================
    # FunkSec Ransomware Escalation & Shadow Copy Deletion Simulation
    # ==============================
    # 1. Define path to the (dummy) malicious binary.
    $maliciousExe = "$env:ProgramDataFunkSec.exe"
    # Create a dummy file to act as the ransomware payload.
    New-Item -Path $maliciousExe -ItemType File -Force | Out-Null
    
    # 2. Relaunch the dummy payload with elevated privileges.
    $elevatedCmd = "Start-Process -Wait -Verb runas -FilePath `"$maliciousExe`" -ArgumentList ''"
    Write-Host "Executing elevated launch..."
    Invoke-Expression $elevatedCmd
    
    # 3. Delete all Volume Shadow Copies.
    Write-Host "Deleting all shadow copies..."
    vssadmin delete shadows /all /quiet
    
    # Cleanup dummy payload (optional, for test hygiene)
    Remove-Item -Path $maliciousExe -Force
  • Cleanup Commands: Remove any artifacts created during the simulation.

    # Ensure dummy executable is gone
    $maliciousExe = "$env:ProgramDataFunkSec.exe"
    if (Test-Path $maliciousExe) { Remove-Item -Path $maliciousExe -Force }
    
    # Verify no lingering shadow copy delete remnants – (no action needed as vssadmin is stateless)
    Write-Host "Cleanup complete."