Il mondo della cybersecurity ha appena conquistato una vittoria significativa contro i criminali informatici: un gruppo di ricercatori di Avast, appartenente a Gen Digital, ha sviluppato e rilasciato pubblicamente un decryptor gratuito per il ransomware FunkSec. Questa decisione arriva dopo mesi di collaborazione con le forze dell'ordine e rappresenta un'opportunità preziosa per tutte le vittime di recuperare i propri file senza dover pagare il riscatto. Il tool di decrittazione è ora disponibile attraverso il progetto No More Ransom, un'iniziativa internazionale che da anni si batte per aiutare le vittime degli attacchi ransomware.
Un gruppo criminale dalle origini controverse
FunkSec non è stato un player tradizionale nel panorama del ransomware. Secondo un'analisi approfondita condotta da Check Point all'inizio di quest'anno, il gruppo ha dimostrato caratteristiche uniche che lo distinguono dalle organizzazioni criminali più consolidate. La loro attività sembra essere iniziata già a dicembre 2024, ma con una peculiarità interessante: hanno cominciato con l'esfiltrazione di dati e l'estorsione prima di aggiungere successivamente la componente di crittografia dei file.
I numeri pubblicati dal gruppo potrebbero ingannare sulla loro reale portata operativa. Nonostante il loro sito di leak rivendichi 113 vittime, l'autenticità di molti di questi dataset solleva dubbi significativi. Come sottolineato dai ricercatori di Check Point: "La maggior parte delle operazioni principali di FunkSec sono probabilmente condotte da attori inesperti, e in alcune occasioni le informazioni trapelate sono state riciclate da precedenti leak legati all'hacktivismo".
L'intelligenza artificiale come acceleratore criminale
Il caso FunkSec illumina una tendenza preoccupante nel mondo della cybercriminalità: l'uso massiccio dell'intelligenza artificiale per sviluppare rapidamente strumenti sofisticati. I loro script e tool mostrano codice estremamente raffinato con commenti generati dall'IA, una caratteristica che ha permesso anche ad attori relativamente inesperti di creare malware complessi. Il gruppo ha persino sviluppato un chatbot basato su Miniapps, una piattaforma che facilita la creazione di applicazioni IA senza le restrizioni presenti in sistemi più popolari come ChatGPT.
Il ransomware stesso è stato scritto in linguaggio Rust e caricato su VirusTotal dall'Algeria, suggerendo l'origine geografica del suo sviluppatore. Una volta eseguito, il malware disabilita sistematicamente le funzionalità di sicurezza di Windows, incluso Defender, i log di sistema e le copie shadow, per poi crittografare i file aggiungendo l'estensione '.funksec'.
Una strategia economica atipica
Contrariamente ad altri gruppi ransomware che richiedono cifre astronomiche, FunkSec ha adottato un approccio economico particolare. I loro riscatti erano sorprendentemente bassi, in alcuni casi scendendo fino a soli 10.000 dollari. Parallelamente, il gruppo vendeva i dati rubati a terze parti a prezzi ridotti, suggerendo una strategia più orientata al volume che al profitto per singola vittima.
Questa peculiarità si inserisce in un contesto più ampio di hacktivismo legato al movimento Free Palestine. FunkSec aveva infatti preso di mira principalmente India e Stati Uniti, associandosi a gruppi hacktivisti ormai defunti come Ghost Algéria e Cyb3r Fl00d. L'operazione era stata inizialmente introdotta da un attore che utilizzava i pseudonimi Scorpion e DesertStorm, per poi essere promossa da altri criminali noti come El_Farado, XTN, Blako e Bjorka.
Implicazioni per il futuro della sicurezza informatica
La vicenda FunkSec offre spunti di riflessione importanti sul panorama delle minacce informatiche in evoluzione. Come concludono i ricercatori di Check Point: "Questi risultati riflettono un panorama di minacce in cambiamento, dove anche attori con competenze limitate possono utilizzare strumenti accessibili per proiettare un'ombra molto grande". La disponibilità di strumenti di intelligenza artificiale sta democratizzando la creazione di malware, abbassando significativamente le barriere d'ingresso per aspiranti cybercriminali.
Il rilascio del decryptor gratuito rappresenta quindi non solo una vittoria tattica contro questo specifico gruppo, ma anche un importante precedente per il futuro. La collaborazione tra ricercatori di sicurezza, aziende private e forze dell'ordine si conferma l'approccio più efficace per contrastare queste minacce emergenti, specialmente quando si tratta di gruppi meno strutturati ma tecnologicamente avanzati come FunkSec.
