SOC Prime Bias: Alto

17 Dez 2025 16:49
newspaper icon picussecurity.com

Operações RaaS FunkSec: Misturando Hacktivismo e Cibercrime

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
Operações RaaS FunkSec: Misturando Hacktivismo e Cibercrime
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumo

FunkSec é um grupo de ransomware-como-serviço que apareceu no final de 2024, relatando muitas vítimas enquanto exigia pequenos resgates. Seu malware baseado em Rust criptografa dados com o cifrador ChaCha20 e adiciona a extensão .funksec aos arquivos afetados. Além do ransomware, a equipe circula ferramentas auxiliares para DDoS, acesso remoto à área de trabalho e geração de credenciais. FunkSec combina retórica hacktivista com extorsão financeira.

Investigação

A análise descreve como os operadores aproveitam grandes modelos de linguagem para redigir código e comunicações, usam PowerShell para escalonamento de privilégios e neutralizam controles de segurança antes da criptografia. Ela enumera processos e serviços terminados, delineia o fluxo de trabalho de criptografia e resume a estrutura da nota de resgate, incluindo um endereço de pagamento em Bitcoin. Componentes adicionais—FDDOS, JQRAXY_HVNC e funkgenerate—são documentados como parte do conjunto de ferramentas mais amplo.

Mitigação

Os defensores devem apertar as políticas de execução do PowerShell, observar esforços para desativar o Windows Defender ou remover cópias de sombra, e prevenir o lançamento de processos maliciosos conhecidos. Executar simulações de FunkSec em plataformas de validação de segurança pode ajudar a expor lacunas de controle. Mantenha o conteúdo de detecção atualizado para os processos e serviços terminados mencionados, permitindo identificação mais precoce.

Resposta

Se for detectada atividade, isole o host impactado, confirme a extensão .funksec e colete evidências voláteis. Acione playbooks de resposta a incidentes, recupere de backups e procure por indicadores como comandos específicos do PowerShell e texto da nota de resgate. Use inteligência de ameaças para monitorar e correlacionar infraestrutura relacionada.

graph TB %% Definições de classes classDef action fill:#99ccff classDef operator fill:#ff9900 classDef builtin fill:#cccccc %% Nós action_check_privileges[“<b>Ação</b> – Verificar privilégios (net session)<br/><b>Técnica</b> – T1087 (Descoberta de Contas)<br/>Determinar se o usuário atual possui privilégios administrativos”] class action_check_privileges action action_elevate[“<b>Ação</b> – Elevação com PowerShell<br/><b>Técnica</b> – T1548.002<br/>Ignorar o Controle de Conta de Usuário para obter privilégios de administrador”] class action_elevate action action_disable_defender[“<b>Ação</b> – Desativar o Windows Defender<br/><b>Técnica</b> – T1562.001<br/>Prejudicar as defesas desligando o antivírus integrado”] class action_disable_defender action action_disable_logging[“<b>Ação</b> – Desativar o Registro de Eventos e Limpar Logs<br/><b>Técnicas</b> – T1562.002, T1070.001<br/>Parar o serviço Windows Event Log e apagar as entradas de log existentes”] class action_disable_logging action action_delete_shadow[“<b>Ação</b> – Excluir Cópias de Sombra de Volume<br/><b>Técnica</b> – T1490<br/>Remover pontos de recuperação para impedir a restauração do sistema”] class action_delete_shadow action action_terminate_processes[“<b>Ação</b> – Encerrar processos de segurança/Office<br/><b>Técnicas</b> – T1059.001, T1059.003<br/>Usar PowerShell e o Prompt de Comando do Windows para encerrar binários do Defender e do Office”] class action_terminate_processes action action_encrypt[“<b>Ação</b> – Criptografar arquivos (ChaCha20)<br/><b>Técnica</b> – T1486<br/>Criptografar os dados da vítima para exigir resgate”] class action_encrypt action action_exfiltrate[“<b>Ação</b> – Exfiltrar dados via C2<br/><b>Técnica</b> – T1041<br/>Enviar os arquivos coletados pelo canal de commandu2011andu2011control”] class action_exfiltrate action action_drop_note[“<b>Ação</b> – Depositar nota de resgate”] class action_drop_note action action_ddos[“<b>Ação</b> – DDoS opcional com FDDOS<br/><b>Técnicas</b> – T1498, T1499.002<br/>Lançar ataques de inundação contra a rede alvo”] class action_ddos action %% Conexões action_check_privileges u002du002d>|sem admin| action_elevate action_elevate u002du002d>|usa| action_disable_defender action_disable_defender u002du002d>|leva a| action_disable_logging action_disable_logging u002du002d>|leva a| action_delete_shadow action_delete_shadow u002du002d>|leva a| action_terminate_processes action_terminate_processes u002du002d>|leva a| action_encrypt action_encrypt u002du002d>|leva a| action_exfiltrate action_exfiltrate u002du002d>|leva a| action_drop_note action_drop_note u002du002d>|opcional| action_ddos

Attack Flow

Simulation Execution

Prerequisite: The Telemetry & Baseline Pre‑flight Check must have passed.

Rationale: This section details the precise execution of the adversary technique (TTP) designed to trigger the detection rule. The commands and narrative MUST directly reflect the TTPs identified and aim to generate the exact telemetry expected by the detection logic.

  • Attack Narrative & Commands:

    1. Elevate the ransomware payload: The attacker uses PowerShell’s Start-Process -Verb runas to re‑execute the malicious script (FunkSec.exe) with administrator rights, matching the command‑line pattern the rule watches.
    2. Delete all shadow copies: Immediately after elevation, the attacker runs vssadmin delete shadows /all /quiet to erase system restore points, satisfying the second condition of the rule.
    3. Both commands are executed in rapid succession from the same user context, ensuring they appear within the correlation window of the Sigma rule.

  • Regression Test Script: The script below reproduces the exact behavior. Run it on a Windows host with the logging configuration described earlier.

    # ==============================
# FunkSec Ransomware Escalation & Shadow Copy Deletion Simulation
# ==============================
# 1. Define path to the (dummy) malicious binary.
$maliciousExe = "$env:ProgramDataFunkSec.exe"
# Create a dummy file to act as the ransomware payload.
New-Item -Path $maliciousExe -ItemType File -Force | Out-Null

# 2. Relaunch the dummy payload with elevated privileges.
$elevatedCmd = "Start-Process -Wait -Verb runas -FilePath `"$maliciousExe`" -ArgumentList ''"
Write-Host "Executing elevated launch..."
Invoke-Expression $elevatedCmd

# 3. Delete all Volume Shadow Copies.
Write-Host "Deleting all shadow copies..."
vssadmin delete shadows /all /quiet

# Cleanup dummy payload (optional, for test hygiene)
Remove-Item -Path $maliciousExe -Force

  • Cleanup Commands: Remove any artifacts created during the simulation.

    # Ensure dummy executable is gone
$maliciousExe = "$env:ProgramDataFunkSec.exe"
if (Test-Path $maliciousExe) { Remove-Item -Path $maliciousExe -Force }

# Verify no lingering shadow copy delete remnants – (no action needed as vssadmin is stateless)
Write-Host "Cleanup complete."

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Junte-se Gratuitamente