Investigación Profunda de Grupos de RansomwareInvestigación 5 - Ransomware FunksecRedes
[email protected]://shows.acast.com/blueteam-sin-morir-en-el-intentohttps://linkedin.com/company/blue-team-smihttps://x.com/blueteam_smihttps://www.youtube.com/@BlueTeamSMIDonativohttps://buymeacoffee.com/btsmi1. IdentificaciónAparición: Octubre de 2024.Origen: Presuntamente Argelia, por conexiones con hacktivistas locales.Víctimas: Unas 172 organizaciones en EE. UU., India, España, Mongolia, Israel, etc.2. Perfil y evoluciónActores clave:Scorpion/DesertStorm: Primer promotor en foros y YouTube; OPSEC falló al filtrar su ubicación.El_Farado: Sucesor con poca experiencia técnica.Afiliados: XTN, Blako, Bjorka, aportan clasificación de datos y difusión.Imagen política: Referencias a Ghost Algéria y Cyb3r Fl00d para aparentar motivación hacktivista.IA en el malware: “FunkLocker” (Rust) creado o asistido por IA, acelerando el desarrollo.3. Operaciones y TTPsModelo RaaS y doble extorsión: Afiliados ejecutan el ransomware; cifra datos y amenaza con filtrarlos.Rescate: 0,1 BTC (~10 000 USD), con casos desde 5 000 USD; estrategia “spray & pray”.Tácticas MITRE:Acceso: Phishing (T1566), exploits web (T1190).Ejecución: Engaño al usuario (T1204).Escalada: Tokens (T1134), exploits locales (T1068).Evasión: Borrado de evidencias (T1070), desactivación de defensas (T1562).Credenciales: Fuerza bruta (T1110), volcado de credenciales (T1003).Descubrimiento: Info del sistema (T1082), servicios de red (T1046).Movimiento lateral: Servicios remotos (T1021).Exfiltración: Vía web (T1567).Impacto: Inhibe recuperación (T1490), cifrado (T1486).4. InfraestructuraHerramientas: FunkLocker, Funkgenerate.zip, ddos1.py/FDDOS, Scorpion DDoS Tool, JQRAXY (HVNC), ReactGPT, Rclone.5. Análisis técnicoPersistencia: Tarea programada “funksec”.Evasión: Desactiva Defender/BitLocker; limpia registros (wevtutil cl); PowerShell Bypass.Antianálisis: Detecta VMs; comprueba privilegios (net session).Cifrado: RSA-2048, AES-256, XChaCha20; extensión .funksec.Autocopia: Se replica en todas las unidades (A:–Z:).UI: Descarga y aplica fondo de pantalla remoto antes de cifrar.6. VictimologíaSectores impactados: Tecnología, gobierno, servicios empresariales, educación, finanzas, salud, energía, manufactura, transporte, hospitalidad y agricultura.7. ContramedidasPrevención: Copias de seguridad inmutables, parches regulares, segmentación de red, mínimos privilegios, MFA, EDR/IDS con alertas de comandos sospechosos.Respuesta: Aislar sistemas, notificar autoridades, evaluar desencriptadores, restaurar desde backups, revisar telemetría y reforzar controles.URL´shttps://www.checkpoint.com/es/cyber-hub/threat-prevention/ransomware/funksec-ransomware-ai-powered-group/ https://research.checkpoint.com/2025/funksec-alleged-top-ransomware-group-powered-by-ai/Video sugerido que pasos deben tomarse en caso de infección https://youtu.be/cMZ4apzfKjQ Hosted on Acast. See acast.com/privacy for more information.