Grupo de ransomware surgiu no fim de 2024 com mais de 85 vítimas alegadas, ferramentas em Rust, site de vazamento e sinais de desenvolvimento assistido por IA, mas parte das divulgações apresenta indícios de reaproveitamento de dados antigos.
| Componente | Operação FunkSec, incluindo site de vazamento, ransomware personalizado em Rust, ferramenta de DDoS e oferta de Ransomware-as-a-Service. |
| Vetor | Extorsão dupla com alegações de roubo de dados e criptografia; o binário analisado tenta elevar privilégios com net session e relançamento via start-process -wait -Verb runas -filepath '%~nx0' -ArgumentList ' ' antes de percorrer unidades locais. |
| Impacto | Criptografia de arquivos com extensão .funksec, tentativa de interrupção de processos e serviços, pressão por pagamento e venda de dados alegadamente roubados; a autenticidade de parte dos vazamentos é questionável. |
| Prioridade | Monitorar atividade associada a execução de binários Rust desconhecidos, extensão .funksec, tentativas de elevação via PowerShell e divulgação de dados atribuída ao grupo antes de aceitar números de vítimas como impacto confirmado. |
| Versões | Operadores anunciaram versões sucessivas do ransomware, incluindo uma versão V1.5, com alegação de baixa detecção por antivírus. |
| Artefatos | Amostra dev.exe associada ao hash 5226ea8e0f516565ba825a1bbed10020982c16414750237068b602c5b4ac6abd, código-fonte parcial ransomware.rs, extensão .funksec e ambiente de compilação C:\Users\Abdellah\. |
FunkSec é uma operação de ransomware que apareceu publicamente no fim de 2024 e passou a ganhar visibilidade em dezembro do mesmo ano ao publicar mais de 85 vítimas alegadas em um curto intervalo. O grupo se apresenta como uma operação de Ransomware-as-a-Service e centraliza suas atividades em um site de vazamento com anúncios de violações, oferta de ferramenta de DDoS e divulgação de um ransomware próprio. O volume anunciado é alto para uma operação recente, mas os próprios elementos técnicos e operacionais disponíveis indicam que a contagem deve ser tratada como alegação do ator, não como confirmação independente de intrusões bem-sucedidas, criptografia ampla ou exfiltração válida em todos os casos.
A operação mistura elementos de ransomware criminal com estética e discurso associados a hacktivismo. O grupo mirou publicamente Índia e Estados Unidos, tentou alinhar sua imagem ao movimento “Free Palestine” e usou várias personas para ampliar reputação em fóruns e canais públicos. Esse posicionamento não altera o risco técnico: há um criptografador funcional, rotinas de elevação, iteração sobre unidades, encerramento de processos e notas de resgate. Ao mesmo tempo, há sinais de baixa maturidade operacional, incluindo vazamentos possivelmente reciclados de campanhas hacktivistas anteriores, falhas de segurança operacional e redundância incomum no binário analisado.
O ponto mais relevante para defesa é que a barreira de entrada parece reduzida por uso provável de assistência de IA. Comentários de código em inglês mais elaborado do que outras comunicações do grupo, publicação de trechos em Rust e mensagens vinculando a criação do ransomware a agentes assistidos por IA indicam que operadores com pouca experiência podem acelerar protótipos, gerar versões sucessivas e produzir ferramentas suficientes para causar interrupção. Isso não transforma automaticamente FunkSec em uma operação sofisticada, mas torna mais difícil usar maturidade técnica como único indicador de risco.
A amostra analisada é um binário Rust sem símbolos, condição que dificulta engenharia reversa por causa de inlining agressivo de código de biblioteca e de implementações de traits que podem ocultar chamadas relevantes para APIs como WriteFileEx, CryptGenRandom e SystemFunction036. Mesmo assim, o fluxo geral permite entender a intenção operacional. O executável verifica se possui privilégios elevados tentando executar net session; se a verificação falha, tenta reiniciar a si mesmo com elevação por PowerShell usando start-process -wait -Verb runas -filepath '%~nx0' -ArgumentList ' '. Esse comportamento cria uma condição observável em logs de processo e indica que a criptografia efetiva depende de interação com controle de conta de usuário ou de execução prévia em contexto privilegiado.
Depois da elevação, o malware executa uma sequência voltada a reduzir interferências e preparar a criptografia. A rotina terminate_processes contém uma lista fixa de processos e serviços a encerrar, o que sugere uma abordagem direta para liberar arquivos, interromper software de segurança ou impedir recuperação operacional. O binário então percorre letras de unidade, entra recursivamente em subdiretórios e cifra arquivos com extensões-alvo. A extensão adicionada aos arquivos criptografados é .funksec. Para cifragem simétrica, o código usa uma implementação de ChaCha20 disponível no crate orion.rs; as chaves efêmeras são geradas por um wrapper fino em torno de CryptGenRandom e SystemFunction036.
A análise também mostra sinais de geração ou composição pouco cuidadosa. Chamadas para funções centrais aparecem repetidas em diferentes caminhos de execução, e a rotina de “desativar segurança” é chamada mais de uma vez no mesmo bloco básico. A função recursiva que percorre subdiretórios e criptografa arquivos aparece chamada cinco vezes no binário. Há ainda invocações duplicadas da lógica de criptografia com constantes embutidas, incluindo RansomwarePassword123. Essa redundância não impede impacto, mas cria artefatos comportamentais úteis para detecção e reforça a leitura de que o desenvolvimento foi iterativo, acelerado e possivelmente assistido por IA, em vez de fruto de uma base madura mantida por operadores experientes.
A superfície de risco envolve hosts Windows capazes de executar o binário Rust, especialmente quando o usuário ou processo inicial permite elevação. A execução sem privilégios pode acionar tentativa de relançamento com runas; a execução já privilegiada permite avançar diretamente para encerramento de processos e criptografia de arquivos em unidades acessíveis. O risco não se limita ao disco local se unidades mapeadas ou volumes conectados estiverem disponíveis ao mesmo contexto de usuário, mas o material técnico disponível descreve principalmente iteração por letras de unidade e diretórios acessíveis pelo sistema comprometido.
No plano de inteligência, a superfície também inclui fóruns de crime cibernético, canais associados às personas do grupo, site .onion de vazamento e anúncios de RaaS. Os nomes Scorpion, DesertStorm, El_Farado, Blako e XTN aparecem conectados a atividades de promoção, assinaturas, perfis e serviços ligados ao grupo, com diferentes graus de evidência. Uma conexão atribuída a Bjorka permanece incerta: há repostagens e canais que tentaram vincular operações ao nome, mas não há confirmação de colaboração direta. Para avaliação de risco, isso significa separar telemetria técnica de propaganda do ator e não tratar todo vazamento atribuído como intrusão nova.
Os artefatos de desenvolvimento apontam para uma origem operacional recorrente na Argélia, incluindo uploads de versões do malware, o arquivo parcial ransomware.rs, a amostra dev.exe e o caminho de compilação C:\Users\Abdellah\. Esses dados ajudam no agrupamento técnico, mas não devem ser usados isoladamente para atribuição conclusiva de autoria, afiliação estatal ou localização de todos os operadores.
- Hosts Windows com execução de binários desconhecidos e possibilidade de elevação por
runasficam mais expostos ao fluxo observado. - Ambientes com unidades mapeadas, diretórios compartilhados acessíveis ao usuário e privilégios amplos aumentam o alcance potencial da criptografia.
- Equipes que monitoram vazamentos devem validar se os dados atribuídos à FunkSec são novos ou reaproveitados de campanhas hacktivistas anteriores.
- Amostras e trechos de código associados a
dev.exe,ransomware.rs,.funkseceC:\Users\Abdellah\devem ser tratados como pivôs técnicos, não como prova única de atribuição.
A detecção deve combinar sinais de endpoint, processo, arquivo e inteligência externa. Em endpoint, procure execução de binários Rust desconhecidos seguida por net session, PowerShell com Start-Process e parâmetro -Verb runas, criação rápida de arquivos com extensão .funksec e encerramento incomum de processos ou serviços. A sequência é mais importante do que um único indicador: a tentativa de elevação, seguida por enumeração de unidades, escrita intensiva em arquivos e renomeação com extensão fixa, forma um padrão defensável para hunting mesmo quando hash e nome de arquivo mudarem.
No sistema de arquivos, a criação de notas de resgate com referência a FunkSec ou Ghost Algeria pode ajudar na classificação do incidente, especialmente quando aparece junto de criptografia ChaCha20 e extensão .funksec. A presença de constantes ou strings como RansomwarePassword123, orion.rs, CryptGenRandom, SystemFunction036 e chamadas ligadas a format! pode apoiar análise estática e YARA, desde que as regras sejam testadas para reduzir falso positivo em binários Rust legítimos. Em telemetria de EDR, a repetição de rotinas e chamadas redundantes pode gerar sequências anômalas de tentativa de desativação e encerramento de processos.
Em inteligência de ameaças, a caça deve evitar aceitar automaticamente números publicados pelo grupo. O grupo usa visibilidade como objetivo operacional, e parte dos conjuntos divulgados pode ter origem em vazamentos anteriores. A validação deve comparar timestamps, metadados, caminhos de arquivos, amostras de dados, presença anterior em repositórios de vazamento e sobreposição com campanhas hacktivistas já conhecidas. O resultado dessa verificação muda a resposta: dados reciclados exigem comunicação e contenção diferentes de uma intrusão nova com criptografia ativa.
- Processos: execução de
net sessionpor binário incomum, seguida de PowerShell comStart-Process,-Verb runase relançamento do próprio executável. - Arquivos: criação em massa de nomes terminados em
.funksec, notas de resgate mencionando FunkSec ou Ghost Algeria e escrita intensiva em múltiplos diretórios. - Binário: amostras Rust sem símbolos com referências a
CryptGenRandom,SystemFunction036,orion.rs,terminate_processesou constantes comoRansomwarePassword123. - Inteligência: anúncios de vítimas em site
.onion, fóruns e perfis associados devem ser correlacionados com evidência técnica interna antes de confirmar incidente.
A resposta defensiva deve priorizar contenção de execução e redução de privilégios. Bloqueie execução de binários não autorizados em diretórios graváveis por usuários, aplique regras de controle de aplicação e limite a capacidade de usuários comuns relançarem executáveis com privilégios administrativos. Como o fluxo observado tenta usar runas, logs de UAC, PowerShell e criação de processos devem ser preservados durante investigação. Se houver sinais de criptografia ativa, isole o host, desconecte unidades mapeadas e interrompa credenciais do usuário afetado antes de iniciar limpeza, para reduzir propagação por diretórios acessíveis.
A mitigação também deve cobrir resiliência. Backups offline ou imutáveis, testes de restauração e segmentação de compartilhamentos são controles centrais contra criptografia por ransomware, especialmente quando o ator ainda é imaturo, mas possui ferramenta funcional. Revise permissões em compartilhamentos, remova acesso de escrita desnecessário e monitore contas com privilégios locais. Em endpoints, use regras comportamentais para encadeamentos de elevação, enumeração de unidades, encerramento de serviços e renomeação em massa, em vez de depender somente do hash conhecido 5226ea8e0f516565ba825a1bbed10020982c16414750237068b602c5b4ac6abd.
Para inteligência e comunicação executiva, trate publicações da FunkSec como alegações até que haja validação independente. Quando o grupo listar uma organização, a equipe deve verificar telemetria interna, exposição pública, amostras de dados e possíveis vazamentos antigos antes de declarar comprometimento recente. A baixa cobrança de resgate, incluindo valores anunciados de cerca de US$ 10.000, não reduz o risco operacional: a interrupção local, o custo de resposta e o dano reputacional podem ser maiores que o valor pedido. A ação defensiva deve se basear no comportamento observado e nos ativos afetados, não na autopromoção do grupo.
- Aplicar controle de aplicação para bloquear binários desconhecidos em diretórios de usuário, downloads, temporários e caminhos de execução não administrados.
- Alertar para
net sessioneStart-Process -Verb runasquando iniciados por executáveis incomuns ou recém-criados. - Isolar hosts com criação de arquivos
.funksec, preservar memória e logs de processo, e desconectar unidades compartilhadas antes de erradicação. - Validar restauração de backups offline ou imutáveis e revisar permissões de escrita em compartilhamentos acessíveis por usuários finais.
- Correlacionar qualquer vazamento atribuído ao grupo com dados internos, metadados e histórico de campanhas anteriores antes de confirmar intrusão nova.
0 Comentários