W świecie cyberbezpieczeństwa nowe zagrożenia pojawiają się nieustannie. Jednym z najnowszych przykładów jest grupa ransomware o nazwie Funksec, która od początku grudnia 2024 roku przeprowadziła serię ataków na organizacje na całym świecie. Co wyróżnia Funksec spośród innych grup ransomware i jak można się przed nią chronić? W tym artykule przyjrzymy się bliżej tej nowej sile w cyberprzestępczości.
Geneza i Charakterystyka Funksec
Funksec to stosunkowo nowa grupa ransomware, która pojawiła się na scenie cyberprzestępczości na początku grudnia 2024 roku1. Od tego czasu grupa ta dodała 86 organizacji do swojej listy ofiar, w tym sześć portali rządowych1. Co ciekawe, Funksec działa w sposób, który wyróżnia ją spośród innych grup ransomware. Zamiast szyfrować dane i żądać okupu za ich odszyfrowanie, Funksec często sprzedaje dostęp do zhakowanych systemów na internetowych aukcjach1. Na przykład 14 grudnia 2024 roku grupa ta wystawiła na sprzedaż dostęp do systemów stolicy Macedonii Północnej za jedyne dwa tysiące dolarów1. Nie wiadomo jednak, czy oferta ta znalazła nabywcę.
Funksec jest również znana z atakowania stron rządowych w Azji i Afryce1. Wśród ofiar grupy znalazły się organizacje z Pakistanu, Zjednoczonych Emiratów Arabskich i Kambodży1. Dostęp do systemów tych organizacji został wyceniony na odpowiednio 3 tysiące i tysiąc dolarów1. Co istotne, Funksec nie informuje o szyfrowaniu danych przed ich wykradnięciem1. Pochodzenie grupy i jej ewentualne powiązania z państwami autorytarnymi pozostają na razie nieznane1. Warto jednak zauważyć, że wiele ofiar Funksec znajduje się w krajach rozwijających się, co może wskazywać na celowe działanie grupy1. Dodatkowo, niektóre działania Funksec wydają się być motywowane politycznie, a grupa otwarcie deklaruje zamiar atakowania Stanów Zjednoczonych2. Raport „Power Rankings: Ransomware Malicious Quartile” z Halcyon.ai dostarcza dodatkowych informacji na temat działalności Funksec i jej pozycji wśród innych grup ransomware3.
Funksec to grupa o znaczących możliwościach technicznych. Oprócz typowych działań ransomware, Funksec reklamuje darmowe narzędzie DDoS i prawdopodobnie rozwija własne oprogramowanie ransomware4. Grupa koncentruje się na różnych sektorach, w tym mediach, IT i edukacji4. Jej działania sugerują, że może ona również funkcjonować jako broker danych, dywersyfikując w ten sposób swoje metody wymuszania5.
Unikalne Cechy Funksec
Funksec wyróżnia się spośród innych grup ransomware kilkoma unikalnymi cechami:
- Sprzedaż dostępu do zhakowanych systemów: Zamiast szyfrować dane, Funksec często sprzedaje dostęp do zhakowanych systemów na aukcjach internetowych1. To nietypowe podejście może sugerować, że grupa ta jest bardziej zainteresowana szpiegostwem lub sabotażem niż uzyskaniem okupu.
- Atakowanie stron rządowych: Funksec przeprowadziła ataki na kilka portali rządowych, co wskazuje na jej zainteresowanie celami o znaczeniu strategicznym1.
- Brak informacji o szyfrowaniu: Funksec nie informuje o szyfrowaniu danych przed ich wykradnięciem, co utrudnia ofiarom podjęcie działań w celu ochrony swoich danych1.
- Koncentracja na krajach rozwijających się: Wiele ofiar Funksec znajduje się w krajach rozwijających się, co może sugerować, że grupa ta celowo wybiera cele o słabszych zabezpieczeniach1.
- Podwójne wymuszenie: Funksec stosuje taktykę podwójnego wymuszenia, łącząc wykradanie danych z szyfrowaniem, aby zwiększyć presję na ofiary i zmaksymalizować zyski5.
Ofiary Ataków Funksec
Target | Date | Method | Impact |
---|---|---|---|
Stolica Macedonii Północnej | 14 grudnia 2024 | Sprzedaż dostępu do systemów | Nieznany |
Organizacje rządowe w Pakistanie, Zjednoczonych Emiratach Arabskich i Kambodży | Grudzień 2024 | Sprzedaż dostępu do systemów | Nieznany |
Milliy Tiklanish Democratic Party of Uzbekistan | 9 grudnia 2024 | Wykradanie danych | Wyciek 200 MB danych, w tym kodu źródłowego serwera FTP, baz danych, plików konfiguracyjnych i kluczy tajnych |
National Centre for Financial Education (NCFE) w Indiach | 9 grudnia 2024 | Wykradanie danych | Wyciek bazy danych zawierającej dane o urządzeniach użytkowników, adresy e-mail i klucze prywatne |
Metody Działania Funksec
Funksec wykorzystuje różne techniki ataku, w tym:
- Włamania do systemów: Funksec wykorzystuje luki w zabezpieczeniach systemów, aby uzyskać nieautoryzowany dostęp do danych. Hakerzy mogą wykorzystywać różne metody, takie jak inżynieria społeczna, ataki phishingowe, złośliwe oprogramowanie czy skanowanie w poszukiwaniu luk w zabezpieczeniach6.
- Wykradanie danych: Po uzyskaniu dostępu do systemu, Funksec wykrada dane z zhakowanych systemów, a następnie wykorzystuje je do szantażowania ofiar. Mogą to być dane osobowe, dane finansowe, własność intelektualna lub inne poufne informacje6.
- Sprzedaż danych: Funksec często sprzedaje skradzione dane na aukcjach internetowych lub na ciemnej sieci. W ten sposób grupa może uzyskać dodatkowe zyski z ataków1.
- Ataki DDoS: Funksec reklamuje darmowe narzędzie DDoS, co sugeruje, że grupa ta może wykorzystywać ataki DDoS do wywierania presji na ofiary lub do zakłócania działania ich systemów. Ataki DDoS polegają na przeciążeniu serwerów ofiar dużą ilością żądań, co uniemożliwia im normalne funkcjonowanie4.
- Wykorzystanie witryny wycieku danych (DLS): Funksec zarządza witryną wycieku danych w sieci Tor, która służy do centralizowania działań ransomware, publikowania ogłoszeń o naruszeniach i potencjalnie ułatwiania sprzedaży danych1.
Potencjalne Powiązania z Państwami Autorytarnymi
Pochodzenie Funksec i jej ewentualne powiązania z państwami autorytarnymi pozostają na razie nieznane1. Jednak fakt, że wiele ofiar grupy znajduje się w krajach rozwijających się, a także ataki na strony rządowe, mogą sugerować, że Funksec może być wspierana przez państwa autorytarne1. Możliwe, że grupa ta działa na zlecenie rządów, które chcą uzyskać dostęp do poufnych informacji lub zdestabilizować sytuację polityczną w krajach rozwijających się. Skupienie się na podmiotach rządowych i organizacjach w krajach rozwijających się może mieć długoterminowe konsekwencje, destabilizując systemy polityczne, zakłócając podstawowe usługi i podważając zaufanie do infrastruktury cyfrowej.
Jak Chronić Się Przed Atakami Funksec?
Aby chronić się przed atakami Funksec, organizacje powinny wdrożyć następujące środki bezpieczeństwa:
- Regularne aktualizacje oprogramowania: Aktualizacje oprogramowania często zawierają poprawki luk w zabezpieczeniach, które mogą być wykorzystywane przez hakerów. Ważne jest, aby regularnie aktualizować wszystkie systemy i oprogramowanie, w tym systemy operacyjne, aplikacje i oprogramowanie układowe.
- Szkolenia dla pracowników: Pracownicy powinni być przeszkoleni w zakresie cyberbezpieczeństwa i dobrych praktyk w zakresie ochrony danych. Szkolenia powinny obejmować zagrożenia związane z phishingiem, inżynierią społeczną i złośliwym oprogramowaniem, a także zasady bezpiecznego korzystania z internetu i firmowych systemów.
- Silna segmentacja sieci: Segmentacja sieci może pomóc w ograniczeniu rozprzestrzeniania się ataku w przypadku włamania. Polega ona na podziale sieci na mniejsze, izolowane segmenty, co utrudnia hakerom przemieszczanie się po sieci i uzyskiwanie dostępu do poufnych danych.
- Kopie zapasowe danych: Regularne tworzenie kopii zapasowych danych i przechowywanie ich w bezpiecznym miejscu może pomóc w odzyskaniu danych w przypadku ataku ransomware. Kopie zapasowe powinny być przechowywane offline, na nośnikach odłączonych od sieci, aby uniemożliwić hakerom ich zaszyfrowanie lub uszkodzenie.
- Audyty bezpieczeństwa: Regularne audyty bezpieczeństwa mogą pomóc w identyfikacji luk w zabezpieczeniach i wdrożeniu odpowiednich środków zaradczych. Audyty powinny obejmować ocenę zabezpieczeń systemów, aplikacji i procesów, a także weryfikację skuteczności wdrożonych środków bezpieczeństwa.
Wnioski
Funksec to nowa grupa ransomware, która stanowi poważne zagrożenie dla organizacji na całym świecie. Jej unikalne metody działania, w tym sprzedaż dostępu do zhakowanych systemów i ataki na strony rządowe, wyróżniają ją spośród innych grup ransomware. Dodatkowo, stosowanie taktyki podwójnego wymuszenia i koncentracja na krajach rozwijających się czynią ją jeszcze bardziej niebezpieczną. Aby chronić się przed atakami Funksec, organizacje powinny wdrożyć solidne środki bezpieczeństwa, takie jak regularne aktualizacje oprogramowania, szkolenia dla pracowników, silna segmentacja sieci, kopie zapasowe danych i audyty bezpieczeństwa. W świecie cyberprzestępczości ciągła aktualizacja wiedzy i stosowanie najlepszych praktyk są kluczowe dla zapewnienia bezpieczeństwa danych i systemów.
Cytowane prace
1. Niecodzienne ataki nowej grupy ransomware | CyberDefence24, otwierano: grudnia 27, 2024, https://cyberdefence24.pl/cyberbezpieczenstwo/niecodzienne-ataki-nowej-grupy-ransomware
2. Exclusive: Funksec ransomware gang allegedly targets pair of Aussie companies, otwierano: grudnia 27, 2024, https://www.cyberdaily.au/security/11483-exclusive-funksec-ransomware-gang-allegedly-targets-pair-of-aussie-companies
3. Ransomware on the Move: Funksec, 8Base, Black Basta, RansomHub – Halcyon, otwierano: grudnia 27, 2024, https://www.halcyon.ai/attacks-news/ransomware-on-the-move-funksec-8base-black-basta-ransomhub
4. FunkSec (Threat Actor) – Malpedia, otwierano: grudnia 27, 2024, https://malpedia.caad.fkie.fraunhofer.de/actor/funksec
5. Funksec Ransomware Breach Exposes GSTPAM Data Vulnerabilities – Halcyon, otwierano: grudnia 27, 2024, https://www.halcyon.ai/attacks/funksec-ransomware-breach-exposes-gstpam-data-vulnerabilities
6. Weekly Intelligence Report – 20 Dec 2024 – cyfirma, otwierano: grudnia 27, 2024, https://www.cyfirma.com/news/weekly-intelligence-report-20-dec-2024/
7. Take Me Down to Funksec Town: Funksec Ransomware DLS Emergence, otwierano: grudnia 27, 2024, https://www.cyjax.com/resources/blog/take-me-down-to-funksec-town-funksec-ransomware-dls-emergence/