Kaspersky examine de près FunkSec, un groupe de ransomware très actif depuis le début de l’année. En utilisant l’IA et un « réseau de partenaires » ouvert, FunkSec mène des attaques à grande échelle.
Marc Rivero de l’équipe de recherche Kaspersky GReAT a présenté la recherche lors d’une conférence du spécialiste en sécurité à Madrid. Selon Rivero, FunkSec est la preuve vivante que les cybercriminels utilisent l’IA pour mener des attaques à grande échelle. Mais ce n’est pas la seule chose qui rend FunkSec unique.
FunkSec est apparu pour la première fois fin 2024. Depuis lors, le ransomware s’est propagé rapidement, ciblant les gouvernements, les entreprises technologiques, les institutions financières et éducatives en Europe. Kaspersky a examiné le ransomware et a découvert que de grandes parties du code ont été développées avec l’IA générative.
Avec ou sans mot de passe
Ce qui distingue FunkSec des autres ransomwares, c’est la combinaison du chiffrement complet, du vol de données agressif et d’une fonction d’auto-nettoyage, écrits dans un seul programme Rust. Le ransomware peut désactiver plus de 50 processus sur un ordinateur victime.
De plus, le groupe utilise un mécanisme de mot de passe. Sans mot de passe, le malware n’effectue qu’un chiffrement de base. Avec un mot de passe, les données chiffrées peuvent également être récupérées par les criminels.
Tout le monde peut être partenaire
Le chercheur de Kaspersky conclut que FunkSec utilise l’IA générative pour écrire des parties du code. Ironiquement, cela se révèle à travers les ‘imperfections’ et les fonctions redondantes dans le code. L’utilisation de l’IA permet aux attaquants de mener facilement des attaques à grande échelle avec FunkSec. Ce n’est qu’une des façons dont les cybercriminels utilisent l’IA.
lire aussi
L’ère des attaques d’hameçonnage pitoyables est révolue
Il est remarquable que le groupe FunkSec propose tout gratuitement, tant le code source qu’une preuve de concept prête à l’emploi pour l’exécuter. Outre le ransomware, FunkSec propose sur son propre site de fuites un large catalogue d’outils de piratage, comme des « extracteurs de mots de passe » et des outils simples pour les attaques DDoS. De plus, FunkSec demande des rançons modestes et gagne principalement de l’argent sur la revente des données volées.
Selon Rivero, c’est une méthode « jamais vue auparavant ». « En principe, tout le monde peut devenir partenaire de FunkSec, même ceux qui sont en dehors du réseau. Précisément parce que le code est principalement développé avec l’IA, le coût est moins important. La priorité est d’étendre le réseau et d’augmenter le volume des attaques ».