Siber Saldırı Bülteni: AWS S3'te Codefinger Fidye Yazılımına Karşı Savunma >

Siber Saldırı Bülteni: AWS S3'te Codefinger Fidye Yazılımına Karşı Savunma >

Vectra AI Japonya、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Hamburger simgesi üst satır
Hamburger simgesi orta çizgi
Hamburger simgesi alt satırı
cybercriminels
>
Fidye Yazılım Grubu

FunkSec

FunkSec, siber suçları hacktivizm ile harmanlayan yeni bir yapay zeka destekli fidye yazılımı grubu dalgasını temsil ediyor. Teknik gelişmişlikleri şüpheli olsa da, taktikleri ve kamusal görünürlükleri onları dikkate değer bir tehdit haline getiriyor. Güvenlik ekipleri yapay zeka destekli malware trendlerini izlemeli ve otomasyon ve aldatma taktiklerinden yararlanan fidye malware saldırılarına karşı hazırlıklı olmalıdır.

FunkSec'in TTP'lerini tespit edin
Kuruluşunuz FunkSec'e Karşı Güvende mi?
Arka plan
Hedefler
TTP'ler
Algılama
Sıkça Sorulan Sorular
Tehdit Brifingini izleyin

FunkSec'in Geçmişi

FunkSec, 2024'ün sonlarında ortaya çıkan bir fidye yazılımı grubudur ve kamuya açık olarak iddia edilen çok sayıda kurbanıyla hızla ün kazanmıştır. Diğer yerleşik fidye yazılımı çetelerinin aksine, FunkSec nispeten yeni ve bağımsız bir operasyon gibi görünmektedir ve önceki fidye yazılımı aileleriyle bilinen bir bağı yoktur. Grup, kurbanları fidye ödemeye zorlamak için veri şifrelemeyi veri hırsızlığı ile birleştirerek çifte gasp taktikleri kullanıyor.

FunkSec'in temel özelliklerinden biri, deneyimsiz aktörlerin bile hızla kötü amaçlı araçlar oluşturmasına ve bunları yinelemesine olanak tanıyan yapay zeka destekli kötü amaçlı malware geliştirmesidir. Grup hacktivizm ve siber suçların kesiştiği noktada faaliyet gösteriyor gibi görünmektedir ve bu da gerçek motivasyonlarını belirlemeyi zorlaştırmaktadır. Sızdırdıkları veri kümelerinden bazılarının önceki hacktivist kampanyalardan geri dönüştürüldüğü tespit edildi ve bu da ifşaatlarının gerçekliği konusunda şüphe uyandırdı.

FunkSec kendisini sofistike bir hizmet olarak fidye yazılımı (RaaS) operasyonu olarak sunarken, güvenlik araştırmacıları grubun teknik uzmanlığının sınırlı olduğunu gösteren birçok işaret tespit etti. Düşük fidye talepleri ve siber suç forumlarında halka açık tanıtım çabalarının da gösterdiği gibi, faaliyetlerinin çoğu mali kazançtan ziyade kötü şöhret arzusundan kaynaklanıyor gibi görünüyor.

Kaynak: Kontrol Noktası

FunkSec'in Geçmişi
Hedefler

FunkSec'in Hedefleri

Hedeflenen Ülkeler

FunkSec'in iddia ettiği kurbanların çoğunluğu Hindistan ve Amerika Birleşik Devletleri'nden olmakla birlikte, Avrupalı ve Orta Doğulu kuruluşları hedef alan başka saldırılar da olmuştur. "Özgür Filistin" hareketiyle olan uyumları olası bir jeopolitik motivasyona işaret etse de, bu gerçek bir siyasi niyetten ziyade markalaşmayla ilgili olabilir.

Hedeflenen Sektörler

FunkSec tek bir sektöre odaklanmış gibi görünmüyor ancak devlet kurumları, sağlık hizmetleri, finansal hizmetler ve teknoloji şirketlerine saldırdı. Grubun hizmet olarak fidye yazılımı (RaaS) modeli, birden fazla iştirakçinin araçlarını kullanmasına izin vererek potansiyel kurbanların kapsamını genişletiyor. Hedeflenen bazı sektörler, özellikle devlet kurumları ve altyapı olmak üzere hacktivist motiflerle uyumludur.

Görüntü kaynağı: PCrisk

Hedeflenen Sektörler

FunkSec tek bir sektöre odaklanmış gibi görünmüyor ancak devlet kurumları, sağlık hizmetleri, finansal hizmetler ve teknoloji şirketlerine saldırdı. Grubun hizmet olarak fidye yazılımı (RaaS) modeli, birden fazla iştirakçinin araçlarını kullanmasına izin vererek potansiyel kurbanların kapsamını genişletiyor. Hedeflenen bazı sektörler, özellikle devlet kurumları ve altyapı olmak üzere hacktivist motiflerle uyumludur.

Görüntü kaynağı: PCrisk

Önemli Kurbanlar

Tahminen 138 kuruluş FunkSec saldırılarının kurbanı olmuştur.

Saldırı Yöntemi

FunkSec'in saldırı yöntemi

İlk Erişim
Ayrıcalık Yükseltme
Savunma Kaçırma
Kimlik Bilgileri Erişimi
Keşif
Yanal Hareket
Koleksiyon
Yürütme
Sızma
Etki
Bilgisayarlar, akıllı telefonlar ve tabletler gibi çeşitli cihazlarla dolu dijital bir manzara üzerinde geniş bir ağ atan gölgeli bir figür. Ağ, saldırganın güvenlik açıklarını bulma veya yetkisiz erişim elde etmek için phishing tekniklerini kullanma girişimlerini sembolize eder.

FunkSec phishing ı e-postaları, kimlik bilgileri doldurma ve açık sistemlerdeki yamalanmamış güvenlik açıklarından yararlanma yoluyla erişim elde eder. Ayrıca karanlık web forumlarında bulunan çalıntı kimlik bilgilerinden de yararlanırlar.

Temel bir kullanıcı simgesinden yukarıya, yönetici ayrıcalıklarını simgeleyen bir taca doğru uzanan dijital bir merdiven. Bu, saldırganın sistem içinde daha üst düzey erişim elde etme çabalarını temsil eder.

Grup, kimlik bilgisi çalma teknikleri, belirteç manipülasyonu ve Windows ortamlarındaki yanlış yapılandırmalardan yararlanarak ayrıcalıkları artırmaya çalışır.

Dijital bir arka plana karışan, etrafında sıfırlar ve birler akan bir bukalemun. Bu, saldırganın normal ağ trafiğine karışmak için taktik değiştirerek güvenlik önlemleri tarafından tespit edilmekten kaçınma yeteneğini temsil eder.

FunkSec, tespit edilmekten kaçınmak için Windows Defender, olay günlüğü ve PowerShell güvenlik özelliklerini devre dışı bırakır. Fidye yazılımları Rust dilinde derlenmiştir, bu da analiz ve tespiti zorlaştırabilir.

Giriş formu şeklindeki dev bir anahtar deliği üzerinde çalışan maymuncuk aletine sahip bir hırsız, saldırganın yetkisiz erişim elde etmek için kullanıcı kimlik bilgilerini çalma çabalarını temsil ediyor.

Tehlike altındaki sistemlerden ve web sitelerinden kimlik bilgilerini toplayan funkgenerate gibi tuş kaydediciler ve parola kazıma araçları kullanırlar.

Bir ağın dijital haritası üzerinde hareket eden ve dosyaları, klasörleri ve ağ bağlantılarını vurgulayan bir büyüteç. Bu görüntü, saldırganların yapıyı ve değerli verilerin nerede bulunduğunu anlamak için ortamı keşfettikleri aşamayı temsil eder.

FunkSec, değerli dosyaları bulmak ve şifrelenecek en kritik varlıkları belirlemek için virüslü ağları tarar.

Gölgeli bir figürün aralarında gizlice hareket ettiği bir dizi birbirine bağlı düğüm. Bu, ek sistemlerin kontrolünü ele geçirmek veya malware adresini yaymak isteyen saldırganın ağ içindeki hareketlerini göstermektedir.

HVNC (gizli sanal ağ bilişim) araçlarını ve uzak masaüstü açıklarını kullanarak tehlikeye atılmış ağlar arasında hareket ederler.

Dosyaları, veri simgelerini ve klasörleri gölgeli bir figür tarafından tutulan bir torbaya emen büyük bir vakum. Bu görüntü, hedef ağdan değerli verilerin toplanması sürecini sembolize eder.

Grup, kurbanın verilerini şifrelemeden önce özel Python komut dosyaları ve Rclone gibi standart araçlar kullanarak hassas dosyaları dışarı sızdırıyor.

Dijital bir arka planın önünde açılan ve kötü amaçlı kod yazılan bir komut istemi penceresi. Bu, saldırganların ele geçirilen sistem içinde kötü amaçlı yüklerini çalıştırdıkları aşamayı temsil eder.

Rust tabanlı fidye yazılımı ChaCha20 şifrelemesini kullanarak dosyaları şifreler, ".funksec" uzantısını ekler ve bir fidye notu bırakır.

Bir bilgisayardan gizli bir kanal aracılığıyla kurukafa ile etiketlenmiş bir buluta aktarılan bir dizi dosya, verilerin saldırgan tarafından kontrol edilen bir konuma izinsiz olarak aktarılmasını sembolize eder.

Çalınan veriler FunkSec'in dark web sızıntı sitesine yüklenir ve burada ya kamuya açıklanır ya da üçüncü taraflara satılır.

Arkasında kaos içinde dijital bir şehir manzarası olan kırık bir ekran, siber saldırının hizmet kesintisi, veri imhası veya mali kayıp gibi yıkıcı etkisini sembolize eder.

Fidye yazılımı gölge kopyaları siler, işlemleri sonlandırarak işlemleri kesintiye uğratır ve sistem ayarlarını değiştirir (örneğin, masaüstü arka planını karartır).

Bilgisayarlar, akıllı telefonlar ve tabletler gibi çeşitli cihazlarla dolu dijital bir manzara üzerinde geniş bir ağ atan gölgeli bir figür. Ağ, saldırganın güvenlik açıklarını bulma veya yetkisiz erişim elde etmek için phishing tekniklerini kullanma girişimlerini sembolize eder.
İlk Erişim

FunkSec phishing ı e-postaları, kimlik bilgileri doldurma ve açık sistemlerdeki yamalanmamış güvenlik açıklarından yararlanma yoluyla erişim elde eder. Ayrıca karanlık web forumlarında bulunan çalıntı kimlik bilgilerinden de yararlanırlar.

Temel bir kullanıcı simgesinden yukarıya, yönetici ayrıcalıklarını simgeleyen bir taca doğru uzanan dijital bir merdiven. Bu, saldırganın sistem içinde daha üst düzey erişim elde etme çabalarını temsil eder.
Ayrıcalık Yükseltme

Grup, kimlik bilgisi çalma teknikleri, belirteç manipülasyonu ve Windows ortamlarındaki yanlış yapılandırmalardan yararlanarak ayrıcalıkları artırmaya çalışır.

Dijital bir arka plana karışan, etrafında sıfırlar ve birler akan bir bukalemun. Bu, saldırganın normal ağ trafiğine karışmak için taktik değiştirerek güvenlik önlemleri tarafından tespit edilmekten kaçınma yeteneğini temsil eder.
Savunma Kaçırma

FunkSec, tespit edilmekten kaçınmak için Windows Defender, olay günlüğü ve PowerShell güvenlik özelliklerini devre dışı bırakır. Fidye yazılımları Rust dilinde derlenmiştir, bu da analiz ve tespiti zorlaştırabilir.

Giriş formu şeklindeki dev bir anahtar deliği üzerinde çalışan maymuncuk aletine sahip bir hırsız, saldırganın yetkisiz erişim elde etmek için kullanıcı kimlik bilgilerini çalma çabalarını temsil ediyor.
Kimlik Bilgileri Erişimi

Tehlike altındaki sistemlerden ve web sitelerinden kimlik bilgilerini toplayan funkgenerate gibi tuş kaydediciler ve parola kazıma araçları kullanırlar.

Bir ağın dijital haritası üzerinde hareket eden ve dosyaları, klasörleri ve ağ bağlantılarını vurgulayan bir büyüteç. Bu görüntü, saldırganların yapıyı ve değerli verilerin nerede bulunduğunu anlamak için ortamı keşfettikleri aşamayı temsil eder.
Keşif

FunkSec, değerli dosyaları bulmak ve şifrelenecek en kritik varlıkları belirlemek için virüslü ağları tarar.

Gölgeli bir figürün aralarında gizlice hareket ettiği bir dizi birbirine bağlı düğüm. Bu, ek sistemlerin kontrolünü ele geçirmek veya malware adresini yaymak isteyen saldırganın ağ içindeki hareketlerini göstermektedir.
Yanal Hareket

HVNC (gizli sanal ağ bilişim) araçlarını ve uzak masaüstü açıklarını kullanarak tehlikeye atılmış ağlar arasında hareket ederler.

Dosyaları, veri simgelerini ve klasörleri gölgeli bir figür tarafından tutulan bir torbaya emen büyük bir vakum. Bu görüntü, hedef ağdan değerli verilerin toplanması sürecini sembolize eder.
Koleksiyon

Grup, kurbanın verilerini şifrelemeden önce özel Python komut dosyaları ve Rclone gibi standart araçlar kullanarak hassas dosyaları dışarı sızdırıyor.

Dijital bir arka planın önünde açılan ve kötü amaçlı kod yazılan bir komut istemi penceresi. Bu, saldırganların ele geçirilen sistem içinde kötü amaçlı yüklerini çalıştırdıkları aşamayı temsil eder.
Yürütme

Rust tabanlı fidye yazılımı ChaCha20 şifrelemesini kullanarak dosyaları şifreler, ".funksec" uzantısını ekler ve bir fidye notu bırakır.

Bir bilgisayardan gizli bir kanal aracılığıyla kurukafa ile etiketlenmiş bir buluta aktarılan bir dizi dosya, verilerin saldırgan tarafından kontrol edilen bir konuma izinsiz olarak aktarılmasını sembolize eder.
Sızma

Çalınan veriler FunkSec'in dark web sızıntı sitesine yüklenir ve burada ya kamuya açıklanır ya da üçüncü taraflara satılır.

Arkasında kaos içinde dijital bir şehir manzarası olan kırık bir ekran, siber saldırının hizmet kesintisi, veri imhası veya mali kayıp gibi yıkıcı etkisini sembolize eder.
Etki

Fidye yazılımı gölge kopyaları siler, işlemleri sonlandırarak işlemleri kesintiye uğratır ve sistem ayarlarını değiştirir (örneğin, masaüstü arka planını karartır).

MITRE ATT&CK Haritalama

FunkSec'in TTP'leri

TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
TA0002: Execution
T1204
User Execution
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
T1134
Access Token Manipulation
T1068
Exploitation for Privilege Escalation
TA0005: Defense Evasion
T1134
Access Token Manipulation
T1070
Indicator Removal
T1562
Impair Defenses
TA0006: Credential Access
T1110
Brute Force
T1003
OS Credential Dumping
TA0007: Discovery
T1082
System Information Discovery
T1046
Network Service Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
TA0040: Impact
T1490
Inhibit System Recovery
T1486
Data Encrypted for Impact
Platform Tespitleri

Vectra AI ile FunkSec nasıl tespit edilir

Ransomware File Activity

Suspicious Port Scan

Suspicious Remote Desktop Protocol

Daha fazla algılama görüntüleyin
Saldırıya maruz kalma durumunuzu değerlendirin

Sıkça Sorulan Sorular

Kuruluşunuz FunkSec'e Karşı Güvende mi?

Saldırıya maruz kalma durumunuzu değerlendirin