Эксперты Kaspersky GReAT (Глобального центра исследования и анализа угроз «Лаборатории Касперского») проанализировали деятельность новой киберпреступной группы FunkSec, впервые зафиксированной в конце 2024 года.
Группа отличается использованием ИИ-инструментов, в том числе при создании программы-вымогателя, высокой адаптивностью, многофункциональностью вредоносного ПО и масштабностью атак. Основные цели — организации госсектора, а также ИТ-, финансовой и образовательной сфер в странах Европы и Азии.
Функционал вредоносного ПО
Программа-вымогатель, написанная на Rust, совмещает возможности шифрования и кражи данных в одном исполняемом файле. Она может завершать работу более 50 процессов на заражённом устройстве и оснащена механизмом самоудаления, затрудняющим анализ. FunkSec применяет продвинутые методы уклонения от обнаружения и противодействия анализу.
Комплексный подход к атакам
Кроме программы-вымогателя, FunkSec использует вспомогательные инструменты: генератор паролей для атак методом перебора и распыления, а также утилиту для DDoS-атак. В коде этих компонентов эксперты обнаружили признаки использования генеративных ИИ-моделей (LLM).
Применение ИИ при разработке
Код вредоносных программ, предположительно, частично создан с помощью генеративного ИИ: присутствуют типовые заглушки-комментарии, команды для разных ОС в одном файле и неиспользуемые функции — вероятные следы автоматической сборки. Это указывает на использование LLM при создании вредоноса.
«Мы всё чаще фиксируем использование генеративного ИИ киберпреступниками. Такие инструменты ускоряют разработку, позволяют быстрее адаптировать тактики и снижают барьер входа. Однако подобный код часто содержит ошибки, и злоумышленники не могут полностью на него полагаться», — комментирует Татьяна Шишкова, ведущий эксперт Kaspersky GReAT.
Атипичный выкуп и масштаб атак
Размер выкупа, запрашиваемого FunkSec, зачастую невелик — до $10 000. Украденные данные злоумышленники также продают по низкой цене, что позволяет им активно масштабировать атаки и быстро наращивать репутацию в теневых кругах. Массовость указывает на использование ИИ для оптимизации операций.
Продукты «Лаборатории Касперского» детектируют угрозу как HEUR:Trojan-Ransom.Win64.Generic.
Рекомендации по защите от программ-вымогателей:
Группа отличается использованием ИИ-инструментов, в том числе при создании программы-вымогателя, высокой адаптивностью, многофункциональностью вредоносного ПО и масштабностью атак. Основные цели — организации госсектора, а также ИТ-, финансовой и образовательной сфер в странах Европы и Азии.
Функционал вредоносного ПО
Программа-вымогатель, написанная на Rust, совмещает возможности шифрования и кражи данных в одном исполняемом файле. Она может завершать работу более 50 процессов на заражённом устройстве и оснащена механизмом самоудаления, затрудняющим анализ. FunkSec применяет продвинутые методы уклонения от обнаружения и противодействия анализу.
Комплексный подход к атакам
Кроме программы-вымогателя, FunkSec использует вспомогательные инструменты: генератор паролей для атак методом перебора и распыления, а также утилиту для DDoS-атак. В коде этих компонентов эксперты обнаружили признаки использования генеративных ИИ-моделей (LLM).
Применение ИИ при разработке
Код вредоносных программ, предположительно, частично создан с помощью генеративного ИИ: присутствуют типовые заглушки-комментарии, команды для разных ОС в одном файле и неиспользуемые функции — вероятные следы автоматической сборки. Это указывает на использование LLM при создании вредоноса.
«Мы всё чаще фиксируем использование генеративного ИИ киберпреступниками. Такие инструменты ускоряют разработку, позволяют быстрее адаптировать тактики и снижают барьер входа. Однако подобный код часто содержит ошибки, и злоумышленники не могут полностью на него полагаться», — комментирует Татьяна Шишкова, ведущий эксперт Kaspersky GReAT.
Атипичный выкуп и масштаб атак
Размер выкупа, запрашиваемого FunkSec, зачастую невелик — до $10 000. Украденные данные злоумышленники также продают по низкой цене, что позволяет им активно масштабировать атаки и быстро наращивать репутацию в теневых кругах. Массовость указывает на использование ИИ для оптимизации операций.
Продукты «Лаборатории Касперского» детектируют угрозу как HEUR:Trojan-Ransom.Win64.Generic.
Рекомендации по защите от программ-вымогателей:
- Регулярно обновлять ПО для устранения известных уязвимостей.
- В рамках стратегии кибербезопасности уделять внимание мониторингу горизонтального перемещения в сети и утечек данных, особенно исходящего трафика.
- Создавать офлайн-резервные копии данных с быстрым доступом в случае инцидента.
- Обеспечивать SOC-команды актуальной TI-информацией и повышать их квалификацию.
- Использовать комплексные решения, например Kaspersky Symphony, обеспечивающие защиту в реальном времени, глубокую аналитику и эффективное реагирование (EDR/XDR) для организаций любого масштаба.
