El grupo de ransomware FunkSec surgió a finales de 2024, ganando notoriedad al declarar más de 85 víctimas en diciembre, aunque su impacto real podría ser menor. Se presenta como una operación de ransomware como servicio (RaaS) sin conexiones conocidas con otros grupos. La autenticidad de sus filtraciones es cuestionable, ya que algunas parecen recicladas de campañas hacktivistas anteriores, y sus herramientas, incluido un cifrador desarrollado con ayuda de IA, reflejan la inexperiencia técnica de sus operadores. Este caso destaca la delgada línea entre hacktivismo y cibercrimen, y cuestiona la fiabilidad de los métodos para evaluar amenazas basados en declaraciones públicas.
Servicios Ofrecidos por el Grupo
Los operadores de FunkSec han empezado recientemente a ofrecer su ransomware personalizado, que evoluciona rápidamente. Con cada nueva versión, muchas de ellas publicadas con tan solo unos días de diferencia, su sitio web se actualiza para destacar las funciones añadidas. En el anuncio de la última versión V1.5, los operadores se jactaron de su baja tasa de detección y compartieron una captura de pantalla de VirusTotal que mostraba que solo tres motores antivirus lo habían detectado en el momento de la publicación.
El autor subió partes del código fuente del malware, escrito en Rust, llamado ransomware.rs. Este archivo fue subido a VirusTotal el 15 de diciembre desde una fuente argelina. La versión prototipo del ransomware incluye las siguientes funciones:
Cifrar todos los archivos del sistema del usuario en el directorio C:\ mediante cifrado RSA y AES, eliminando los archivos originales y creando versiones cifradas con la extensión .funksec.
Crear una nota de rescate (readme.me) informando al usuario sobre el cifrado de sus archivos y proporcionando instrucciones para pagar un rescate.
Modificar el entorno del sistema, como cambiar el fondo del escritorio a negro.
Otras herramientas gratuitas
Además del ransomware, el grupo FunkSec ofrece herramientas adicionales, la mayoría de ellas comúnmente asociadas con la actividad hacktivista.
- FDDOS, una “herramienta DDoS Scorpion” de Python, es una herramienta de prueba de estrés de red diseñada para realizar ataques de denegación de servicio distribuido (DDoS) utilizando métodos de inundación HTTP o UDP.
- JQRAXY_HVNC es un programa C++ de cliente y servidor HVNC diseñado para la administración de escritorio remoto, la automatización y la interacción de datos.
- funkgenerate es una herramienta inteligente de generación y extracción de contraseñas diseñada para extraer correos electrónicos y contraseñas potenciales de URL determinadas y generar nuevas sugerencias de contraseñas.
COI:
c233aec7917cf34294c19dd60ff79a6e0fac5ed6f0cb57af98013c08201a7a1c
66dbf939c00b09d8d22c692864b68c4a602e7a59c4b925b2e2bef57b1ad047bd
dcf536edd67a98868759f4e72bcbd1f4404c70048a2a3257e77d8af06cb036ac
b1ef7b267d887e34bf0242a94b38e7dc9fd5e6f8b2c5c440ce4ec98cc74642fb
5226ea8e0f516565ba825a1bbed10020982c16414750237068b602c5b4ac6abd
e622f3b743c7fc0a011b07a2e656aa2b5e50a4876721bcf1f405d582ca4cda22
20ed21bfdb7aa970b12e7368eba8e26a711752f1cc5416b6fd6629d0e2a44e5d
dd15ce869aa79884753e3baad19b0437075202be86268b84f3ec2303e1ecd966
7e223a685d5324491bcacf3127869f9f3ec5d5100c5e7cb5af45a227e6ab4603
Fuente: https://research.checkpoint.com/2025/funksec-alleged-top-ransomware-group-powered-by-ai/
