SOC Prime Bias: Alto

17 Dec 2025 13:49 UTC

Operações RaaS FunkSec: Misturando Hacktivismo e Cibercrime

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Operações RaaS FunkSec: Misturando Hacktivismo e Cibercrime
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

FunkSec é um grupo de ransomware-como-serviço que apareceu no final de 2024, relatando muitas vítimas enquanto exigia pequenos resgates. Seu malware baseado em Rust criptografa dados com o cifrador ChaCha20 e adiciona a extensão .funksec aos arquivos afetados. Além do ransomware, a equipe circula ferramentas auxiliares para DDoS, acesso remoto à área de trabalho e geração de credenciais. FunkSec combina retórica hacktivista com extorsão financeira.

Investigação

A análise descreve como os operadores aproveitam grandes modelos de linguagem para redigir código e comunicações, usam PowerShell para escalonamento de privilégios e neutralizam controles de segurança antes da criptografia. Ela enumera processos e serviços terminados, delineia o fluxo de trabalho de criptografia e resume a estrutura da nota de resgate, incluindo um endereço de pagamento em Bitcoin. Componentes adicionais—FDDOS, JQRAXY_HVNC e funkgenerate—são documentados como parte do conjunto de ferramentas mais amplo.

Mitigação

Os defensores devem apertar as políticas de execução do PowerShell, observar esforços para desativar o Windows Defender ou remover cópias de sombra, e prevenir o lançamento de processos maliciosos conhecidos. Executar simulações de FunkSec em plataformas de validação de segurança pode ajudar a expor lacunas de controle. Mantenha o conteúdo de detecção atualizado para os processos e serviços terminados mencionados, permitindo identificação mais precoce.

Resposta

Se for detectada atividade, isole o host impactado, confirme a extensão .funksec e colete evidências voláteis. Acione playbooks de resposta a incidentes, recupere de backups e procure por indicadores como comandos específicos do PowerShell e texto da nota de resgate. Use inteligência de ameaças para monitorar e correlacionar infraestrutura relacionada.

Attack Flow

Simulation Execution

Prerequisite: The Telemetry & Baseline Pre‑flight Check must have passed.

Rationale: This section details the precise execution of the adversary technique (TTP) designed to trigger the detection rule. The commands and narrative MUST directly reflect the TTPs identified and aim to generate the exact telemetry expected by the detection logic.

  • Attack Narrative & Commands:

    1. Elevate the ransomware payload: The attacker uses PowerShell’s Start-Process -Verb runas to re‑execute the malicious script (FunkSec.exe) with administrator rights, matching the command‑line pattern the rule watches.
    2. Delete all shadow copies: Immediately after elevation, the attacker runs vssadmin delete shadows /all /quiet to erase system restore points, satisfying the second condition of the rule.
    3. Both commands are executed in rapid succession from the same user context, ensuring they appear within the correlation window of the Sigma rule.
  • Regression Test Script: The script below reproduces the exact behavior. Run it on a Windows host with the logging configuration described earlier.

    # ==============================
    # FunkSec Ransomware Escalation & Shadow Copy Deletion Simulation
    # ==============================
    # 1. Define path to the (dummy) malicious binary.
    $maliciousExe = "$env:ProgramDataFunkSec.exe"
    # Create a dummy file to act as the ransomware payload.
    New-Item -Path $maliciousExe -ItemType File -Force | Out-Null
    
    # 2. Relaunch the dummy payload with elevated privileges.
    $elevatedCmd = "Start-Process -Wait -Verb runas -FilePath `"$maliciousExe`" -ArgumentList ''"
    Write-Host "Executing elevated launch..."
    Invoke-Expression $elevatedCmd
    
    # 3. Delete all Volume Shadow Copies.
    Write-Host "Deleting all shadow copies..."
    vssadmin delete shadows /all /quiet
    
    # Cleanup dummy payload (optional, for test hygiene)
    Remove-Item -Path $maliciousExe -Force
  • Cleanup Commands: Remove any artifacts created during the simulation.

    # Ensure dummy executable is gone
    $maliciousExe = "$env:ProgramDataFunkSec.exe"
    if (Test-Path $maliciousExe) { Remove-Item -Path $maliciousExe -Force }
    
    # Verify no lingering shadow copy delete remnants – (no action needed as vssadmin is stateless)
    Write-Host "Cleanup complete."