Los investigadores de ciberseguridad han revelado una amenaza emergente que está captando la atención global: FunkSec, una familia de ransomware asistida por inteligencia artificial (IA) que apareció a finales de 2024 y que hasta la fecha ha impactado a más de 85 víctimas en todo el mundo. Este grupo no solo recurre al cifrado de archivos y al robo de datos, sino que además introduce un inquietante matiz político y hacktivista en sus operaciones.
De acuerdo con un informe de Check Point Research, FunkSec ha adoptado un modelo de doble extorsión en el que combina el secuestro de datos con su sustracción, presionando así a las víctimas para que paguen un rescate bajo la amenaza de filtraciones públicas. A diferencia de otros grupos de ransomware más establecidos, FunkSec ha solicitado rescates sorprendentemente bajos, en ocasiones de apenas 10,000 dólares, lo que sugiere que su prioridad no es únicamente el beneficio económico sino también la notoriedad en la comunidad cibercriminal.
Un modelo de ransomware como servicio (RaaS) impulsado por IA
En diciembre de 2024, FunkSec lanzó su propio sitio de filtraciones de datos (DLS), donde centraliza sus operaciones y exhibe a las víctimas que se niegan a pagar. Este portal incluye anuncios de brechas de seguridad, herramientas diseñadas para realizar ataques de denegación de servicio distribuido (DDoS) y un ransomware personalizado desarrollado como parte de un esquema de Ransomware-as-a-Service (RaaS).
Lo que distingue a FunkSec de otros grupos similares es su estrategia dual: no solo actúan como operadores de ransomware, sino también como corredores de datos, vendiendo la información robada a terceros interesados por cantidades que oscilan entre 1,000 y 5,000 dólares. Este enfoque híbrido amplía sus fuentes de ingresos y diversifica el impacto de sus ataques.
Víctimas en múltiples países
La lista de países afectados es amplia. Según el análisis de Check Point, la mayoría de las víctimas se encuentran en Estados Unidos, India, Italia, Brasil, Israel, España y Mongolia. Este alcance internacional evidencia la rapidez con la que FunkSec ha escalado sus operaciones y su intención de proyectarse como un actor relevante en el panorama global del cibercrimen.
Un grupo de novatos con aspiraciones de notoriedad
Aunque su actividad es preocupante, los expertos señalan que FunkSec podría estar conformado por actores relativamente inexpertos que buscan ganar reconocimiento en el ecosistema clandestino. De hecho, parte de sus filtraciones no son totalmente originales, sino que reutilizan información expuesta en fugas anteriores relacionadas con hacktivistas.
La compañía de ciberseguridad Halcyon confirma que FunkSec se comporta como un grupo híbrido: mezcla actividades propias del ransomware con tácticas de hacktivismo político. Incluso han mostrado afinidad con el movimiento “Palestina Libre”, intentando asociarse con colectivos hacktivistas ahora desaparecidos, como Ghost Algeria y Cyb3r Fl00d.
Actores detrás de FunkSec
Algunos de los principales nombres y alias vinculados al grupo incluyen:
-
Scorpion (DesertStorm): presunto actor con base en Argelia que promocionó a FunkSec en foros como Breached Forum.
-
El_farado: figura clave de la publicidad del grupo tras la prohibición de DesertStorm en los foros.
-
XTN: supuesto colaborador asociado a un misterioso servicio de “clasificación de datos”.
-
Blako: otro miembro identificado en relación con DesertStorm y El_farado.
-
Bjorka: un conocido hacktivista indonesio cuyo alias fue utilizado para adjudicar filtraciones en DarkForums, ya sea como afiliado real o como suplantación por parte de FunkSec.
Herramientas y técnicas empleadas
FunkSec ha demostrado tener un arsenal variado de herramientas, entre las que destacan:
-
Un ransomware propio, cuya versión más reciente, FunkSec V1.5, está escrita en Rust.
-
Un cifrador que recorre directorios de manera recursiva, eleva privilegios y desactiva medidas de seguridad antes de cifrar los archivos.
-
Herramientas de administración remota como JQRAXY_HVNC.
-
Generadores de contraseñas personalizados, como funkgenerate.
-
Capacidades para ejecutar ataques DDoS contra objetivos seleccionados.
El desarrollo del malware habría sido asistido por inteligencia artificial, lo que explicaría la rápida evolución de sus versiones pese a la falta de experiencia técnica de algunos de sus autores.
Conexiones con Argelia y hacktivismo
Muchos de los ejemplares de FunkSec subidos a VirusTotal provienen de Argelia, lo que apunta a que al menos uno de sus desarrolladores principales se encuentra en ese país. Además, en las primeras variantes del ransomware se hallaron referencias a FunkLocker y Ghost Algeria, reforzando el vínculo entre el grupo y colectivos hacktivistas de la región.
El contexto: ransomware y conflictos globales
El auge de FunkSec debe interpretarse en un contexto más amplio. 2024 fue un año de gran actividad para los grupos de ransomware, mientras que los conflictos geopolíticos alimentaron el crecimiento del hacktivismo digital. Como afirma Sergey Shykevich, gerente de inteligencia de amenazas en Check Point, “FunkSec difumina las líneas entre el hacktivismo y el cibercrimen, impulsado tanto por agendas políticas como por incentivos financieros”.
Una tendencia alarmante para la ciberseguridad
La aparición de FunkSec refuerza una tendencia preocupante: la convergencia entre hacktivismo y cibercrimen organizado, en la que se combinan tácticas políticas, motivaciones económicas y herramientas avanzadas como la inteligencia artificial. Esta mezcla crea un entorno mucho más difícil de predecir y mitigar para empresas, gobiernos y usuarios individuales.
En paralelo, otros grupos como Hunters International han explotado vulnerabilidades en plataformas como Oracle WebLogic Server para desplegar ransomware, lo que muestra que la superficie de ataque sigue creciendo y diversificándose.
Fuente: The Hacker News
