GReAT tim kompanije Kaspersky neprekidno prati stanje u oblasti ransomver pretnji, gde broj napada
nastavlja da raste. Prema najnovijem „State of Ransomware“ izveštaju, udeo korisnika pogođenih
ransomver napadima širom sveta porastao je na 0,44% u periodu od 2023. do 2024. godine, što je
povećanje od 0,02 procentna poena. Iako ovaj procenat može delovati skromno u poređenju sa drugim
sajber pretnjama, on pokazuje da napadači uglavnom ciljaju mete visoke vrednosti umesto masovne
distribucije, što svaki incident čini potencijalno razornim. U ovom promenljivom okruženju, FunkSec se
pojavio kao posebno zabrinjavajuća pretnja.
FunkSec grupa, koja se pojavila krajem 2024. godine i aktivna je manje od godinu dana, brzo je prestigla
mnoge poznate aktere napadajući sektore državne uprave, tehnologije, finansija i obrazovanja u Evropi i
Aziji.
Ono što izdvaja FunkSec grupu jeste njena sofisticirana tehnička arhitektura i razvoj uz pomoć veštačke
inteligencije. Grupa kombinuje potpunu enkripciju i agresivno izvlačenje podataka u jedan izvršni fajl
zasnovan na Rust programskom jeziku koji je sposoban da onesposobi više od 50 procesa na zaraženim
uređajima i opremljen je funkcijama za samostalno uklanjanje radi izbegavanja zaštitnih mehanizama.
Pored osnovne ransomver funkcionalnosti, FunkSec grupa je proširila svoje alate uključivanjem
generatora lozinki i osnovnog DDoS alata — oba pokazuju jasne znake sinteze koda pomoću velikih
jezičkih modela (LLM).
Ovakav pristup grupe FunkSec odražava promenljivo okruženje masovnog sajber kriminala, kombinujući
napredne alate i taktike. Stručnjaci GReAT tima kompanije Kaspersky ističu ključne karakteristike koje
definišu delovanje grupe:
Funkcije koje se kontrolišu lozinkom
Stručnjaci GReAT tima otkrili su da FunkSec ransomver poseduje jedinstven mehanizam zasnovan na
lozinki koji upravlja režimima rada. Bez lozinke, malver sprovodi osnovnu enkripciju fajlova, dok unošenje
lozinke aktivira agresivniji proces izvlačenja podataka, uz enkripciju, kako bi ukrao osetljive informacije.
FunkSec kombinuje potpunu enkripciju, lokalno izvlačenje podataka i samostalno čišćenje u jedan Rust
binarni fajl — bez dodatnog učitavača ili prateće skripte. Takav nivo konsolidacije je neuobičajen i
omogućava saradnicima da koriste alat koji je odmah spreman za upotrebu i koji mogu da primene
gotovo bilo gde.
Upotreba veštačke inteligencije u razvoju
Analiza koda pokazuje da FunkSec aktivno koristi generativnu veštačku inteligenciju za pravljenje svojih
alata. Mnogi delovi koda deluju kao da su automatski generisani, a ne ručno napisani. Na to ukazuju
generički komentari i tehničke nedoslednosti, poput komandi za različite operativne sisteme koje nisu
usklađene. Takođe, prisustvo deklarisanih, a neiskorišćenih funkcija — kao što su moduli koji su uključeni
na početku, ali se nikada ne koriste — pokazuje kako veliki jezički modeli kombinuju više delova koda bez
uklanjanja suvišnih elemenata.
„Sve više viđamo kako sajber kriminalci koriste veštačku inteligenciju za razvoj zlonamernih alata.
Generativna veštačka inteligencija smanjuje prepreke i ubrzava pravljenje malvera, omogućavajući sajber
kriminalcima da brže prilagođavaju svoje taktike. Time što spušta prag ulaska, veštačka inteligencija
omogućava čak i manje iskusnim napadačima da brzo razviju sofisticiran malver u velikim razmerama“,
komentariše Mark Rivero, glavni istraživač bezbednosti u GReAT timu kompanije Kaspersky.
Strategija visokog obima i niske otkupnine
FunkSec grupa zahteva neuobičajeno niske otkupnine, ponekad svega 10.000 dolara, i to kombinuje sa
prodajom ukradenih podataka po sniženim cenama trećim stranama. Ova strategija je verovatno
osmišljena za omogućavanje velikog broja napada, čime grupa brzo gradi reputaciju u sajber kriminalnom
podzemlju. Za razliku od poznatih ransomver grupa koje traže otkupnine u milionima dolara, FunkSec
koristi model visokog obima i niske cene — što dodatno naglašava upotrebu veštačke inteligencije za
optimizaciju i širenje operacija.
Širenje van okvira ransomvera
FunkSec grupa je proširila svoje kapacitete van okvira samog ransomver binarnog fajla. Njen DLS
sajt sadrži dodatne alate, uključujući generator lozinki zasnovan na Python programskom jeziku,
namenjen za brute-force i password-spraying napade, kao i osnovni DDoS alat.
Napredno izbegavanje
FunkSec grupa koristi napredne tehnike izbegavanja kako bi izbegli detekciju i otežali forenzičku analizu.
Ransomver je sposoban da zaustavi više od 50 procesa i servisa kako bi obezbedio temeljnu enkripciju
targetiranih fajlova. Pored toga, sadrži rezervni mehanizam koji omogućava izvršavanje određenih
komandi čak i bez administratorskih ovlašćenja.
Proizvodi kompanije Kaspersky detektuju ovu pretnju kao HEUR:Trojan-Ransom.Win64.Generic.
Kako bi se zaštitile od ransomver napada, stručnjaci kompanije Kaspersky preporučuju da organizacije
prate sledeće najbolje prakse za zaštitu od ransomvera:
Omogućite zaštitu od ransomvera na svim krajnjim tačkama. Dostupan je besplatan alat
Kaspersky Anti-Ransomware Tool for Business koji štiti računare i servere od ransomvera i
drugih vrsta malvera, sprečava eksploataciju ranjivosti i kompatibilan je sa već instaliranim
bezbednosnim rešenjima.
Ažurirajte softver na svim uređajima koje koristite kako biste sprečili napadače da iskoriste
ranjivosti i infiltriraju se u vašu mrežu.
Fokusirajte svoju strategiju odbrane na otkrivanje lateralnih kretanja i iznošenja podataka na
internet. Obratite posebnu pažnju na odlazni saobraćaj kako biste otkrili veze sajber kriminalaca
sa vašom mrežom. Postavite oflajn rezervne kopije koje napadači ne mogu da menjaju.
Postarajte se da im možete brzo pristupiti kada je to potrebno ili u vanrednoj situaciji.
Instalirajte anti-APT i EDR rešenja koja omogućavaju naprednu detekciju i otkrivanje pretnji,
istragu i pravovremeno rešavanje incidenata. Obezbedite vašem SOC timu pristup najnovijim
informacijama o pretnjama i redovno se usavršavajte kroz stručne obuke. Sve navedeno
dostupno je u okviru Kaspersky Expert Security sistema.
Koristite najnovije informacije o pretnjama koje pruža Threat Intelligence kako biste bili upoznati
sa aktuelnim taktikama, tehnikama i procedurama (TTP) koje koriste napadači.
Da biste zaštitili kompaniju od širokog spektra pretnji, koristite rešenja iz Kaspersky Next linije
proizvoda koja pružaju zaštitu u realnom vremenu, vidljivost pretnji, kao i mogućnosti istrage i
odgovora karakteristične za EDR i XDR, namenjene organizacijama bilo koje veličine i
delatnosti. U zavisnosti od vaših trenutnih potreba i raspoloživih resursa, možete izabrati
najrelevantniji nivo proizvoda i lako preći na drugi ukoliko se vaši zahtevi za sajber bezbednošću
promene.