De ransomwaregroep FunkSec maakt volgens onderzoekers van Kasperski gebruik van AI om op grote schaal aanvallen uit te voeren tegen organisaties in onder meer de overheids-, technologie-, financiële en onderwijsssector in Europa en Azië. De groep, die eind 2024 voor het eerst werd waargenomen, heeft in korte tijd een breed arsenaal aan AI-ondersteunde middelen opgebouwd voor cyberaanvallen.
FunkSec werkt met een op Rust gebaseerde ransomware die bestandversleuteling, gegevensdiefstal en zelfverwijdering combineert in één enkele uitvoerbare file. De malware schakelt meer dan vijftig processen op geïnfecteerde systemen uit en gebruikt een wachtwoordgestuurd mechanisme. Zonder wachtwoord wordt standaardversleuteling uitgevoerd, met wachtwoord activeert de software ook datadiefstal.
De ontwikkelmethode van FunkSec wijst volgens het Global Research and Analysis Team (GReAT) van Kaspersky op grootschalig gebruik van generatieve AI. De code bevat automatisch gegenereerde onderdelen, zoals placeholdercommentaren en gedeclareerde maar ongebruikte functies, evenals technische inconsistenties in systeemcommando’s. Deze kenmerken suggereren dat de malware deels is samengesteld met behulp van grote taalmodellen, die verschillende codefragmenten combineren zonder overbodige elementen te verwijderen.
De strategie van FunkSec is gericht op hoge frequentie en lage bedragen. Losgelden bedragen soms slechts 10.000 dollar, terwijl de groep daarnaast gestolen gegevens tegen verlaagde prijzen doorverkoopt. Hiermee wijkt FunkSec af van traditionele ransomwaregroepen die hogere sommen eisen en kiest het in plaats daarvan voor schaalvergroting via lage instapkosten.
Naast ransomware beschikt FunkSec over aanvullende middelen, waaronder een op Python gebaseerde wachtwoordgenerator voor brute-force en spraying-aanvallen, en een DDoS-tool. Via hun dark leak site verspreiden ze deze hulpmiddelen. Hun malware is ontworpen om detectie te omzeilen: het beëindigt tientallen processen, heeft fallback-functionaliteit bij beperkte gebruikersrechten en voert zelfverwijdering uit na afloop van de aanval.
Kaspersky detecteert de dreiging onder de naam HEUR\:Trojan-Ransom.Win64.Generic. Volgens de onderzoekers verandert de aanpak van FunkSec het ransomwarelandschap structureel door AI te benutten om ontwikkeltrajecten te versnellen en complexe aanvalstechnieken breed toegankelijk te maken.
