Détecté pour la première fois fin 2024, FunkSec s’est démarqué par son apparente efficacité. CheckPoint Research (CPR) suspecte que le groupe et ses membres, jugés inexpérimentés, mènent leurs attaques avec des outils développés à l’aide de l’intelligence artificielle, signe que l’expertise technique n’est peut-être plus un prérequis pour les cybercriminels.
La crainte des éditeurs de voir les cybercriminels s’emparer des capacités d’IA pour mener leurs attaques et attirer des affiliés, même inexpérimentés, se confirme encore un peu plus. Détecté en fin d’année dernière, le Ransomware-as-a-Service (RaaS) FunkSec a revendiqué, sur son site de leak de données (DLS), pas moins de 85 victimes pour le seul mois de décembre. Il fait ainsi mieux que tous les groupes de ransomwares sur cette même période.
CheckPoint nuance toutefois l’efficacité réelle du groupe, puisque beaucoup des données divulguées proviennent de campagnes antérieures. Difficile de démêler le vrai du faux avec exactitude, puisque les méthodes d’évaluation des groupes de ransomwares reposent bien souvent sur les déclarations de ces derniers. CPR suspecte que ces pirates, « peu expérimentés », veulent avant tout se faire un nom et gagner en visibilité.
Des intentions floues
Le groupe a adopté une double stratégie d’extorsion relativement courante qui consiste à voler les données et à les chiffrer pour contraindre ses victimes à payer. Là où ils se différencient de leurs camarades, c’est en mobilisant l’intelligence artificielle pour développer des malwares et accompagner leurs affiliés dans la création et le perfectionnement de leurs outils. « De manière surprenante, nos découvertes indiquent que le développement des outils du groupe, y compris l’encryptage, a probablement été assisté par une intelligence artificielle, ce qui pourrait avoir contribué à leur itération rapide malgré le manque apparent d’expertise technique de leur auteur », écrivent les chercheurs.
Leur DLS propose, en plus d’un ransomware, un outil de déni de service distribué (DDoS) et un ransomware personnalisé, semant le doute sur leurs motivations réelles, mêlant hacktivisme et cybercriminalité. FunkSec serait en effet aligné avec le mouvement « Free Palestine » et a tenté de s’associer à des groupes hacktivistes comme Ghost Algéria. CPR estime que d’autres recherches sur ce nouveau groupe seront nécessaires pour lever le voile sur son efficacité et ses intentions réelles.