{"id":1675,"date":"2025-01-28T14:26:14","date_gmt":"2025-01-28T14:26:14","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=1675"},"modified":"2025-01-28T14:26:14","modified_gmt":"2025-01-28T14:26:14","slug":"neue-ransomware-gruppe-funksec-profitiert-von-llms","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=1675","title":{"rendered":"Neue Ransomware-Gruppe Funksec profitiert von LLMs"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
Die neue Ransomware-Gruppe Funksec scheint bei der Entwicklung ihrer Malware durch die Nutzung von generativer KI zu profitieren.\n

KDdesign_photo_video \u2013 Shutterstock.com<\/p>\n<\/div>\n

Bedrohungsanalysen der Sicherheitsfirma NCC Group<\/a> von Dezember 2024 zeigen, dass ein Neuling in der Ransomware-as-a-Service (RaaS)-Landschaft schnell aufstieg. Demnach war die Gruppe Funksec in dem Monat f\u00fcr 103 von 578 Angriffen verantwortlich. Damit gelangte die Ransomware-Bande an die Spitze. Mit 18 Prozent lag die Angriffsrate h\u00f6her als bei vielen etablierteren Gruppen wie CL0P, Akira und RansomHub<\/a>.<\/p>\n

Forscher des Security-Anbieters Check Point gehen jedoch davon aus, dass die Akteure dahinter nicht sehr erfahren in der Entwicklung von Malware sind und ihre Karriere als Cyberkriminelle im Hacktivismus begonnen haben. Dies k\u00f6nne man auch in den anderen Tools von Funksec immer noch erkennen.<\/p>\n

\u201eUnsere Ergebnisse zeigen \u00fcberraschenderweise, dass die Entwicklung der Tools der Gruppe, einschlie\u00dflich des Verschl\u00fcsselungswerkzeugs, wahrscheinlich KI-gest\u00fctzt war, was trotz des offensichtlichen Mangels an technischem Fachwissen der Autoren zu ihrer schnellen Iteration beigetragen haben k\u00f6nnte\u201c, so die Forscher in einem Bericht<\/a>.<\/p>\n

Funksec im Vergleich mit anderen Ransomware-Gruppen<\/strong><\/h2>\n

Funksec ist eine RaaS-Operation, die durch Dateiverschl\u00fcsselung und -diebstahl doppelte Erpressung betreibt. Als die Gruppe anfing, auf einer Website erfolgreich ausgenutzte Datenlecks aufzuzeigen, wurden sofort 85 Opfer aufgelistet. Check Point f\u00fchrt diesen pl\u00f6tzlichen Anstieg und die gro\u00dfe Zahl der Opfer darauf zur\u00fcck, dass zumindest einige der Opfer aus fr\u00fcheren hacktivistischen Aktivit\u00e4ten stammen.<\/p>\n

Ein weiterer Aspekt, der Funksec von anderen Gruppen unterscheidet, ist, dass die L\u00f6segeldforderungen nur 10.000 Dollar betragen und die Gruppe auch Daten zu relativ niedrigen Preisen verkauft. Dies deutet darauf hin, dass die Gruppe bei der Auswahl ihrer Ziele eher auf Quantit\u00e4t als auf Qualit\u00e4t setzt.<\/p>\n

Funksec verwendet ein ma\u00dfgeschneidertes Ransomware-Programm<\/strong><\/h2>\n

Das von Funksec verwendete Ransomware-Programm ist in Rust geschrieben und wurde von seinem Sch\u00f6pfer erstmals in den mehrstufigen Malware-Scandienst VirusTotal hochgeladen, um mit seiner niedrigen Erkennungsrate zu prahlen. Dies erm\u00f6glichte es den Forschern, mehrere Varianten des Programms zu finden und zu analysieren. \u00a0Alle wurden von Algerien aus auf VirusTotal hochgeladen.<\/p>\n

Einige der Versionen enthielten eine L\u00f6segeldforderung, in der die Gruppe als Funksec identifiziert wurde. Zus\u00e4tzlich gab es auch eine alternative L\u00f6segeldforderung, in der der Angriff einer Gruppe namens Ghost Algeria zugeschrieben wurde. Der Autor hat au\u00dferdem die Kompilierungsvariablen nicht entfernt, wodurch ein Pfad namens C:UsersAbdellah im Quellcode sichtbar wurde.<\/p>\n

Das Ransomware-Programm versucht, mithilfe bekannter Techniken f\u00fcr PowerShell-Skripte erweiterte Berechtigungen zu erlangen. Anschlie\u00dfend wird der Echtzeitschutzdienst von Windows Defender deaktiviert, die Sicherheitsereignisprotokollierung auf dem System und die Anwendungsprotokollierung entfernen Einschr\u00e4nkungen f\u00fcr die Ausf\u00fchrung von PowerShell und l\u00f6schen schlie\u00dflich die Kopien, um eine Systemwiederherstellung zu verhindern.<\/p>\n

Im Nachgang versucht das Malware-Programm, eine lange Liste von Prozessen zu beenden, die mit einer Vielzahl von Programmen verbunden sind, darunter Browser, Videoplayer, Messaging-Anwendungen und Windows-Dienste. Dadurch wird sichergestellt, dass der Zugriff auf potenziell wichtige Dateien, die anschlie\u00dfend verschl\u00fcsselt werden, nicht durch diese Anwendungen gesperrt wird.<\/p>\n

Malware verbreitet sich \u00fcber alle Laufwerke<\/strong><\/h2>\n

Die Ransomware durchforstet das komplette Laufwerk und verschl\u00fcsselt alle Dateien mit einer Liste von Zielerweiterungen. Verschl\u00fcsselte Dateien haben die Erweiterung .funksec angeh\u00e4ngt.<\/p>\n

Laut den Forschern von Check Point verwendet der Malware-Code, der vom Autor auf VirusTotal hochgeladen wurde, viele redundante Aufruffunktionen und einen sich wiederholenden Kontrollfluss. Der Code enth\u00e4lt auch Kommentare in perfektem Englisch, was darauf hindeutet, dass der Autor bei der Erstellung wahrscheinlich die Hilfe eines gro\u00dfen Sprachmodells (LLM) in Anspruch genommen hat.<\/p>\n

Dies zeigt sich auch in einigen der anderen Tools, die Funksec zum Verkauf anbietet, wie zum Beispiel ein in Python geschriebenes DDoS-Skript f\u00fcr UDP- und HTTP-Floods, ein HVNC-Server und -Client f\u00fcr die Fernverwaltung und ein Tool zum Auslesen von Passw\u00f6rtern f\u00fcr E-Mails und URLs.<\/p>\n

Einige der Tools und Leaks der Gruppe enthalten Hinweise auf zwei andere Gruppen namens Ghost Algeria und Cyb3r Fl00d. Die Gruppe bekennt sich auch \u00f6ffentlich zur \u201eFree Palestine\u201c-Bewegung und erkl\u00e4rte, die USA seien aufgrund ihrer Unterst\u00fctzung f\u00fcr Israel ein Hauptziel.<\/p>\n

\u201eAlle unsere Angriffe mit dem neuen Ransomware-Programm werden sich gegen Amerika richten und den Regierungssektor, die Wirtschaft und Unternehmen, die f\u00fcr den Staat exportieren und produzieren, ins Visier nehmen\u201c, hei\u00dft es in einem ihrer Beitr\u00e4ge.<\/p>\n

Hintergrund zu Funksec<\/strong><\/h2>\n

In Foren f\u00fcr Cyberkriminelle gibt es mehrere Akteure, die mit Funksec in Verbindung stehen, da es sich um einen Ransomware-as-a-Service-Betrieb handelt. Der Hauptadministrator und Promoter von Funksec ist ein Benutzer mit den Identit\u00e4ten Scorpion und DesertStorm. W\u00e4hrend ihr YouTube-Profil ihr Land als Russland angibt, haben sie in einigen Screenshots versehentlich ihren Standort als Algerien und das Tastaturlayout als franz\u00f6sisch ausgew\u00e4hlt.<\/p>\n

DesertStorm wurde im November aus einem bekannten Forum f\u00fcr Cyberkriminelle verbannt, aber ein anderer Benutzer namens El_farado bewarb Funksec weiterhin. Ein weiterer Benutzer, der mit dem Datensortierungsdienst der Gruppe in Verbindung steht, ist XTN.<\/p>\n

Der kometenhafte Aufstieg von Funksec an die Spitze der Ransomware-Statistiken, trotz eines offensichtlichen Mangels an Erfahrung, beweist, dass LLMs die Qualifikationsbarriere f\u00fcr Bedrohungsakteure senken. (jm)<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Die neue Ransomware-Gruppe Funksec scheint bei der Entwicklung ihrer Malware durch die Nutzung von generativer KI zu profitieren. KDdesign_photo_video \u2013 Shutterstock.com Bedrohungsanalysen der Sicherheitsfirma NCC Group von Dezember 2024 zeigen, dass ein Neuling in der Ransomware-as-a-Service (RaaS)-Landschaft schnell aufstieg. Demnach war die Gruppe Funksec in dem Monat f\u00fcr 103 von 578 Angriffen verantwortlich. Damit gelangte […]<\/p>\n","protected":false},"author":0,"featured_media":1676,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-1675","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/1675"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1675"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/1675\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/1676"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1675"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1675"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1675"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}