Un nuevo grupo de ransomware identificado como FunkSec, que se ha consolidado como el más activo durante el pasado mes de diciembre, utiliza el desarrollo de malware asistido por Inteligencia Artificial (IA) para crear y mejorar herramientas de ciberataque, con las que roba datos sensibles de los usuarios y los cifra para solicitar rescates.
FunkSec fue identificado por primera vez a finales del pasado año 2024, cuando se posicionó como uno de los grupos de ransomware más activos del momento, alcanzando a publicar información robada de más de 85 víctimas solo en el mes de diciembre, lo que superó a cualquier otro grupo de ransomware en ese periodo.
Así, según han podido conocer los expertos en ciberseguridad de la compañía Check Point Software, quienes han descubierto este grupo de ransomware, FunkSec fue el responsable del 14 por ciento de los ataques de este tipo publicados en diciembre. En este marco, más del 20 por ciento de las víctimas de FunkSec estaban ubicadas en Estados Unidos, seguido de la India (16 por ciento) e Italia (5 por ciento).
Aunque no se ha podido enlazar este grupo de ransomware con bandas identificadas previamente, los expertos de ciberseguridad han explicado en un comunicado que, según su investigación, se trata de un sistema que ofrece Ransomware as a Service (RaaS).
Con ello, los ciberdelincuentes ofrecen herramientas con las que consiguen robar datos sensibles de los usuarios, y utilizan técnicas de doble extorsión que combinan el robo con el cifrado para forzar a las víctimas a pagar por recuperar su información.
Sin embargo, lo que Check Point ha destacado de este grupo de ransomware es que sus operadores utilizan malware asistido por IA para realizar sus ataques. Esto permite que incluso actores maliciosos inexpertos puedan producir y perfeccionar herramientas avanzadas para el cibercrimen.
De hecho, en algunos de los mensajes publicados por los ciberdelincuentes en su página, el grupo vincula el desarrollo de su ransomware a agentes asistidos por IA, así como el uso de agentes LLM para generar los comentarios del código publicado.
Por otra parte, desde Check Point han subrayado que la Data Leak Site (DLS) de FunkSec, esto es, el sitio web donde publican las filtraciones de datos, combina informes de incidentes de ransomware con las de violaciones de datos, lo que contribuye a un “número inusualmente alto de víctimas”.
Es decir, muchos de los conjuntos de datos filtrados por el grupo son reciclados de campañas anteriores de hacktivismo, lo que “genera dudas sobre la autenticidad de sus divulgaciones”, ya que es más complicado corroborar de dónde se ha conseguido la información expuesta y si sus métodos son realmente efectivos.
Además, esto también puede indicar que el grupo está más centrado en “ganar visibilidad y reconocimiento”, que en aumentar los ciberataques y su efectividad, según las predicciones de Check Point.
De hecho, los expertos han señalado que los métodos actuales para evaluar las amenazas de los grupos de ‘ransomware’ se suelen basar en las propias afirmaciones de los actores maliciosos, lo que “resalta la necesidad de técnicas de evaluación más objetivas”, tal y como ha apuntado Check Point.
“Impulsado tanto por agendas políticas como por incentivos financieros, FunkSec utiliza IA y reutiliza filtraciones de datos antiguas para establecer una nueva marca de ransomware, aunque el éxito real de sus actividades sigue siendo altamente cuestionable”, ha manifestado el Gerente del Grupo de Inteligencia de Amenazas en Check Point Research, Sergey Shykevich.
Con todo ello, desde Check Point también han señalado que, con las operaciones de FunkSec, se pone de relieve el papel de la IA en el desarrollo de malware, así como la superposición entre el hacktivismo y el cibercrimen, y los desafíos que supone para las posibles víctimas verificar los datos filtrados.
Asimismo, este tipo de ataques también reflejan “un panorama de amenazas cambiante”, en el que “incluso los actores poco cualificados pueden hacer uso de herramientas accesibles para proyectar una sombra muy grande”, ha concluido la compañía de ciberseguridad.