Sign up to save your podcasts
Or
Share IPGR Investigación 5 - Ransomware Funksec
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
IPGR Investigación 5 - Ransomware Funksec
Investigación Profunda de Grupos de Ransomware
Investigación 5 - Ransomware Funksec
Redes Sociales
https://shows.acast.com/blueteam-sin-morir-en-el-intento
https://linkedin.com/company/blue-team-smi
https://x.com/blueteam_smi
https://www.youtube.com/@BlueTeamSMI
Donativo
https://buymeacoffee.com/btsmi
1. Identificación
Aparición: Octubre de 2024.
Origen: Presuntamente Argelia, por conexiones con hacktivistas locales.
Víctimas: Unas 172 organizaciones en EE. UU., India, España, Mongolia, Israel, etc.
2. Perfil y evolución
Actores clave:
Scorpion/DesertStorm: Primer promotor en foros y YouTube; OPSEC falló al filtrar su ubicación.
El_Farado: Sucesor con poca experiencia técnica.
Afiliados: XTN, Blako, Bjorka, aportan clasificación de datos y difusión.
Imagen política: Referencias a Ghost Algéria y Cyb3r Fl00d para aparentar motivación hacktivista.
IA en el malware: “FunkLocker” (Rust) creado o asistido por IA, acelerando el desarrollo.
3. Operaciones y TTPs
Modelo RaaS y doble extorsión: Afiliados ejecutan el ransomware; cifra datos y amenaza con filtrarlos.
Rescate: 0,1 BTC (~10 000 USD), con casos desde 5 000 USD; estrategia “spray & pray”.
Tácticas MITRE:
Acceso: Phishing (T1566), exploits web (T1190).
Ejecución: Engaño al usuario (T1204).
Escalada: Tokens (T1134), exploits locales (T1068).
Evasión: Borrado de evidencias (T1070), desactivación de defensas (T1562).
Credenciales: Fuerza bruta (T1110), volcado de credenciales (T1003).
Descubrimiento: Info del sistema (T1082), servicios de red (T1046).
Movimiento lateral: Servicios remotos (T1021).
Exfiltración: Vía web (T1567).
Impacto: Inhibe recuperación (T1490), cifrado (T1486).
4. Infraestructura
Herramientas: FunkLocker, Funkgenerate.zip, ddos1.py/FDDOS, Scorpion DDoS Tool, JQRAXY (HVNC), ReactGPT, Rclone.
5. Análisis técnico
Persistencia: Tarea programada “funksec”.
Evasión: Desactiva Defender/BitLocker; limpia registros (wevtutil cl); PowerShell Bypass.
Antianálisis: Detecta VMs; comprueba privilegios (net session).
Cifrado: RSA-2048, AES-256, XChaCha20; extensión .funksec.
Autocopia: Se replica en todas las unidades (A:–Z:).
UI: Descarga y aplica fondo de pantalla remoto antes de cifrar.
6. Victimología
Sectores impactados: Tecnología, gobierno, servicios empresariales, educación, finanzas, salud, energía, manufactura, transporte, hospitalidad y agricultura.
7. Contramedidas
Prevención: Copias de seguridad inmutables, parches regulares, segmentación de red, mínimos privilegios, MFA, EDR/IDS con alertas de comandos sospechosos.
Respuesta: Aislar sistemas, notificar autoridades, evaluar desencriptadores, restaurar desde backups, revisar telemetría y reforzar controles.
URL´s
https://www.checkpoint.com/es/cyber-hub/threat-prevention/ransomware/funksec-ransomware-ai-powered-group/
https://research.checkpoint.com/2025/funksec-alleged-top-ransomware-group-powered-by-ai/
Video sugerido que pasos deben tomarse en caso de infección
https://youtu.be/cMZ4apzfKjQ
Hosted on Acast. See acast.com/privacy for more information.
View all episodes
By Jose RojasInvestigación Profunda de Grupos de Ransomware
Investigación 5 - Ransomware Funksec
Redes Sociales
https://shows.acast.com/blueteam-sin-morir-en-el-intento
https://linkedin.com/company/blue-team-smi
https://x.com/blueteam_smi
https://www.youtube.com/@BlueTeamSMI
Donativo
https://buymeacoffee.com/btsmi
1. Identificación
Aparición: Octubre de 2024.
Origen: Presuntamente Argelia, por conexiones con hacktivistas locales.
Víctimas: Unas 172 organizaciones en EE. UU., India, España, Mongolia, Israel, etc.
2. Perfil y evolución
Actores clave:
Scorpion/DesertStorm: Primer promotor en foros y YouTube; OPSEC falló al filtrar su ubicación.
El_Farado: Sucesor con poca experiencia técnica.
Afiliados: XTN, Blako, Bjorka, aportan clasificación de datos y difusión.
Imagen política: Referencias a Ghost Algéria y Cyb3r Fl00d para aparentar motivación hacktivista.
IA en el malware: “FunkLocker” (Rust) creado o asistido por IA, acelerando el desarrollo.
3. Operaciones y TTPs
Modelo RaaS y doble extorsión: Afiliados ejecutan el ransomware; cifra datos y amenaza con filtrarlos.
Rescate: 0,1 BTC (~10 000 USD), con casos desde 5 000 USD; estrategia “spray & pray”.
Tácticas MITRE:
Acceso: Phishing (T1566), exploits web (T1190).
Ejecución: Engaño al usuario (T1204).
Escalada: Tokens (T1134), exploits locales (T1068).
Evasión: Borrado de evidencias (T1070), desactivación de defensas (T1562).
Credenciales: Fuerza bruta (T1110), volcado de credenciales (T1003).
Descubrimiento: Info del sistema (T1082), servicios de red (T1046).
Movimiento lateral: Servicios remotos (T1021).
Exfiltración: Vía web (T1567).
Impacto: Inhibe recuperación (T1490), cifrado (T1486).
4. Infraestructura
Herramientas: FunkLocker, Funkgenerate.zip, ddos1.py/FDDOS, Scorpion DDoS Tool, JQRAXY (HVNC), ReactGPT, Rclone.
5. Análisis técnico
Persistencia: Tarea programada “funksec”.
Evasión: Desactiva Defender/BitLocker; limpia registros (wevtutil cl); PowerShell Bypass.
Antianálisis: Detecta VMs; comprueba privilegios (net session).
Cifrado: RSA-2048, AES-256, XChaCha20; extensión .funksec.
Autocopia: Se replica en todas las unidades (A:–Z:).
UI: Descarga y aplica fondo de pantalla remoto antes de cifrar.
6. Victimología
Sectores impactados: Tecnología, gobierno, servicios empresariales, educación, finanzas, salud, energía, manufactura, transporte, hospitalidad y agricultura.
7. Contramedidas
Prevención: Copias de seguridad inmutables, parches regulares, segmentación de red, mínimos privilegios, MFA, EDR/IDS con alertas de comandos sospechosos.
Respuesta: Aislar sistemas, notificar autoridades, evaluar desencriptadores, restaurar desde backups, revisar telemetría y reforzar controles.
URL´s
https://www.checkpoint.com/es/cyber-hub/threat-prevention/ransomware/funksec-ransomware-ai-powered-group/
https://research.checkpoint.com/2025/funksec-alleged-top-ransomware-group-powered-by-ai/
Video sugerido que pasos deben tomarse en caso de infección
https://youtu.be/cMZ4apzfKjQ
Hosted on Acast. See acast.com/privacy for more information.