ИИ-созданный вирус от FunkSec поражает цели в Европе и Азии

Эксперты Kaspersky GReAT (Глобального центра исследования и анализа угроз «Лаборатории Касперского») проанализировали деятельность новой киберпреступной группы FunkSec, впервые зафиксированной в конце 2024 года.

Группа отличается использованием ИИ-инструментов, в том числе при создании программы-вымогателя, высокой адаптивностью, многофункциональностью вредоносного ПО и масштабностью атак. Основные цели — организации госсектора, а также ИТ-, финансовой и образовательной сфер в странах Европы и Азии.

Функционал вредоносного ПО

Программа-вымогатель, написанная на Rust, совмещает возможности шифрования и кражи данных в одном исполняемом файле. Она может завершать работу более 50 процессов на заражённом устройстве и оснащена механизмом самоудаления, затрудняющим анализ. FunkSec применяет продвинутые методы уклонения от обнаружения и противодействия анализу.

Комплексный подход к атакам

Кроме программы-вымогателя, FunkSec использует вспомогательные инструменты: генератор паролей для атак методом перебора и распыления, а также утилиту для DDoS-атак. В коде этих компонентов эксперты обнаружили признаки использования генеративных ИИ-моделей (LLM).

Применение ИИ при разработке

Код вредоносных программ, предположительно, частично создан с помощью генеративного ИИ: присутствуют типовые заглушки-комментарии, команды для разных ОС в одном файле и неиспользуемые функции — вероятные следы автоматической сборки. Это указывает на использование LLM при создании вредоноса.

«Мы всё чаще фиксируем использование генеративного ИИ киберпреступниками. Такие инструменты ускоряют разработку, позволяют быстрее адаптировать тактики и снижают барьер входа. Однако подобный код часто содержит ошибки, и злоумышленники не могут полностью на него полагаться», — комментирует Татьяна Шишкова, ведущий эксперт Kaspersky GReAT.

Атипичный выкуп и масштаб атак

Размер выкупа, запрашиваемого FunkSec, зачастую невелик — до $10 000. Украденные данные злоумышленники также продают по низкой цене, что позволяет им активно масштабировать атаки и быстро наращивать репутацию в теневых кругах. Массовость указывает на использование ИИ для оптимизации операций.

Продукты «Лаборатории Касперского» детектируют угрозу как HEUR:Trojan-Ransom.Win64.Generic.

Рекомендации по защите от программ-вымогателей:

• Регулярно обновлять ПО для устранения известных уязвимостей.
• В рамках стратегии кибербезопасности уделять внимание мониторингу горизонтального перемещения в сети и утечек данных, особенно исходящего трафика.
• Создавать офлайн-резервные копии данных с быстрым доступом в случае инцидента.
• Обеспечивать SOC-команды актуальной TI-информацией и повышать их квалификацию.
• Использовать комплексные решения, например Kaspersky Symphony, обеспечивающие защиту в реальном времени, глубокую аналитику и эффективное реагирование (EDR/XDR) для организаций любого масштаба.