Il gruppo di ransomware FunkSec, assistito dall'intelligenza artificiale, ha colpito 85 vittime a livello globale, utilizzando tattiche di doppia estorsione che combinano furto di dati e crittografia per costringere le vittime a pagare riscatti. Secondo un rapporto di Check Point Research, FunkSec ha richiesto riscatti insolitamente bassi, a volte solo 10.000 dollari, vendendo i dati rubati a terzi a prezzi ridotti. FunkSec ha lanciato il suo sito di fuga di dati nel dicembre 2024 per centralizzare le sue operazioni, includendo annunci di violazioni, un tool personalizzato per attacchi DDoS e un ransomware su misura come parte di un modello RaaS.

La maggior parte delle vittime si trova negli Stati Uniti, India, Italia, Brasile, Israele, Spagna e Mongolia. L'analisi delle attività del gruppo suggerisce che potrebbe trattarsi di attori novizi che cercano notorietà riciclando informazioni trapelate da precedenti fughe di dati legate ad attivisti. Halcyon, un'altra azienda di sicurezza, ha osservato che FunkSec funziona sia come gruppo di ransomware che come broker di dati, vendendo dati rubati a compratori interessati per cifre comprese tra 1.000 e 5.000 dollari.

**Partecipazione ad Attività di Hacktivismo**

Alcuni membri del gruppo RaaS hanno partecipato ad attività di hacktivismo, segnalando una continua fusione tra hacktivismo e crimine informatico. Il gruppo ha anche dichiarato di prendere di mira l'India e gli Stati Uniti, allineandosi con il movimento "Free Palestine" e tentando di associarsi a entità hacktiviste ormai defunte. Tra i membri più noti di FunkSec ci sono figura come Scorpion (noto anche come DesertStorm) e El_farado, che hanno promosso il gruppo nei forum clandestini.

La possibilità che il gruppo si stia dedicando anche ad attività hacktiviste è evidenziata dalla presenza di strumenti per attacchi DDoS e di strumenti per la gestione remota dei desktop e la generazione di password. Lo sviluppo degli strumenti del gruppo, incluso il criptatore, è stato probabilmente assistito dall'AI, il che potrebbe aver contribuito alla loro rapida iterazione nonostante la mancanza apparente di competenze tecniche dell'autore.

L'ultima versione del ransomware, chiamata FunkSec V1.5, è scritta in Rust ed è stata caricata sulla piattaforma VirusTotal dall'Algeria. Un esame delle versioni precedenti del malware suggerisce che l'attore della minaccia proviene dall'Algeria, in base a riferimenti come FunkLocker e Ghost Algeria. Il binario del ransomware è configurato per iterare ricorsivamente su tutte le directory e crittografare i file mirati, ma non prima di elevare i privilegi e adottare misure per disabilitare i controlli di sicurezza.