Operações RaaS FunkSec: Misturando Hacktivismo e Cibercrime
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
FunkSec é um grupo de ransomware-como-serviço que apareceu no final de 2024, relatando muitas vítimas enquanto exigia pequenos resgates. Seu malware baseado em Rust criptografa dados com o cifrador ChaCha20 e adiciona a extensão .funksec aos arquivos afetados. Além do ransomware, a equipe circula ferramentas auxiliares para DDoS, acesso remoto à área de trabalho e geração de credenciais. FunkSec combina retórica hacktivista com extorsão financeira.
Investigação
A análise descreve como os operadores aproveitam grandes modelos de linguagem para redigir código e comunicações, usam PowerShell para escalonamento de privilégios e neutralizam controles de segurança antes da criptografia. Ela enumera processos e serviços terminados, delineia o fluxo de trabalho de criptografia e resume a estrutura da nota de resgate, incluindo um endereço de pagamento em Bitcoin. Componentes adicionais—FDDOS, JQRAXY_HVNC e funkgenerate—são documentados como parte do conjunto de ferramentas mais amplo.
Mitigação
Os defensores devem apertar as políticas de execução do PowerShell, observar esforços para desativar o Windows Defender ou remover cópias de sombra, e prevenir o lançamento de processos maliciosos conhecidos. Executar simulações de FunkSec em plataformas de validação de segurança pode ajudar a expor lacunas de controle. Mantenha o conteúdo de detecção atualizado para os processos e serviços terminados mencionados, permitindo identificação mais precoce.
Resposta
Se for detectada atividade, isole o host impactado, confirme a extensão .funksec e colete evidências voláteis. Acione playbooks de resposta a incidentes, recupere de backups e procure por indicadores como comandos específicos do PowerShell e texto da nota de resgate. Use inteligência de ameaças para monitorar e correlacionar infraestrutura relacionada.
Attack Flow
Detections
Possible PowerShell Pre-Encryption Prep (RunAs + Recovery Inhibition) (via PowerShell)
View
Possible Account or Group Enumeration (via cmdline)
View
Possible Defense Evasion Activity By Suspicious Use of Wevtutil (via cmdline)
View
Windows Defender Preferences Suspicious Changes (via powershell)
View
Suspicious VSSADMIN Activity (via cmdline)
View
Disable Windows Defender Realtime Monitoring (via powershell)
View
IOCs (Emails) to detect: FunkSec RaaS Operations: Hacktivism Meets Cybercrime
View
FunkSec Ransomware: Disable System Defenses Commands [Windows Powershell]
View
Detect FunkSec Ransomware Escalation and Shadow Copy Deletion [Windows Process Creation]
View
Simulation Execution
Prerequisite: The Telemetry & Baseline Pre‑flight Check must have passed.
Rationale: This section details the precise execution of the adversary technique (TTP) designed to trigger the detection rule. The commands and narrative MUST directly reflect the TTPs identified and aim to generate the exact telemetry expected by the detection logic.
-
Attack Narrative & Commands:
- Elevate the ransomware payload: The attacker uses PowerShell’s
Start-Process -Verb runasto re‑execute the malicious script (FunkSec.exe) with administrator rights, matching the command‑line pattern the rule watches. - Delete all shadow copies: Immediately after elevation, the attacker runs
vssadmin delete shadows /all /quietto erase system restore points, satisfying the second condition of the rule. - Both commands are executed in rapid succession from the same user context, ensuring they appear within the correlation window of the Sigma rule.
- Elevate the ransomware payload: The attacker uses PowerShell’s
-
Regression Test Script: The script below reproduces the exact behavior. Run it on a Windows host with the logging configuration described earlier.
# ============================== # FunkSec Ransomware Escalation & Shadow Copy Deletion Simulation # ============================== # 1. Define path to the (dummy) malicious binary. $maliciousExe = "$env:ProgramDataFunkSec.exe" # Create a dummy file to act as the ransomware payload. New-Item -Path $maliciousExe -ItemType File -Force | Out-Null # 2. Relaunch the dummy payload with elevated privileges. $elevatedCmd = "Start-Process -Wait -Verb runas -FilePath `"$maliciousExe`" -ArgumentList ''" Write-Host "Executing elevated launch..." Invoke-Expression $elevatedCmd # 3. Delete all Volume Shadow Copies. Write-Host "Deleting all shadow copies..." vssadmin delete shadows /all /quiet # Cleanup dummy payload (optional, for test hygiene) Remove-Item -Path $maliciousExe -Force -
Cleanup Commands: Remove any artifacts created during the simulation.
# Ensure dummy executable is gone $maliciousExe = "$env:ProgramDataFunkSec.exe" if (Test-Path $maliciousExe) { Remove-Item -Path $maliciousExe -Force } # Verify no lingering shadow copy delete remnants – (no action needed as vssadmin is stateless) Write-Host "Cleanup complete."