Durante l’evento “Kaspersky Horizons” tenutosi a Madrid, il team GReAT (Global Research and Analysis Team) ha presentato una nuova minaccia informatica destinata a cambiare lo scenario dei ransomware: FunkSec. Questo gruppo, attivo dalla fine del 2024, si distingue per l’integrazione massiva dell’intelligenza artificiale nei propri strumenti e tattiche. Secondo il più recente State of Ransomware Report, gli attacchi ransomware continuano a crescere, con un incremento globale dello 0,44% degli utenti colpiti rispetto all’anno precedente.
Analisi del malware
FunkSec è un esempio lampante di questa evoluzione. Il gruppo prende di mira settori strategici – tra cui governativo, tecnologico, finanziario e accademico – con operazioni rapide e su larga scala, soprattutto in Europa e Asia. A renderlo particolarmente insidioso è la sua architettura tecnica sofisticata, costruita in linguaggio Rust, che include crittografia avanzata, esfiltrazione di dati e funzioni di auto-pulizia, tutto all’interno di un unico eseguibile. Uno degli aspetti più innovativi è il meccanismo “password-gated”: il malware si attiva con diverse intensità in base alla presenza di una password. Senza password, effettua una cifratura base; con la password corretta, scatena un attacco completo, combinando cifratura e furto mirato di dati. Questo approccio rende il ransomware estremamente versatile e personalizzabile per ogni attacco.
Altro elemento distintivo è l’utilizzo diretto dell’intelligenza artificiale generativa per scrivere il codice. Analisi forensi indicano che molte parti del malware – inclusi commenti placeholder e funzioni inutilizzate – sono state generate da LLM (Large Language Models), abbassando così la soglia tecnica per sviluppare strumenti avanzati. Come osserva Marc Rivero, Lead Security Researcher di Kaspersky, l’IA sta diventando un moltiplicatore di capacità per la criminalità informatica, permettendo anche a gruppi poco esperti di produrre malware su scala industriale.
A livello economico, FunkSec adotta una strategia controcorrente: richieste di riscatto contenute, anche a partire da 10.000 dollari, combinate con la rivendita di dati rubati a terzi. Questo modello “high-volume, low-ransom” punta a moltiplicare gli attacchi, costruendo rapidamente una solida reputazione nei forum cybercriminali.
Non solo ransomware
Sul proprio Dark Leak Site il gruppo ospita strumenti come un generatore di password basato su Python per attacchi brute-force e un modulo DDoS. L’intero kit è pensato per essere usato anche da affiliati, offrendo un pacchetto plug-and-play capace di eludere oltre 50 processi di sistema, evitando il rilevamento e complicando la risposta forense. Secondo Kaspersky, FunkSec rappresenta un punto di svolta nella cybercriminalità moderna, segnando il passaggio verso malware autonomi, adattivi e alimentati dall’intelligenza artificiale. La combinazione tra sofisticazione tecnica, automazione AI, basso costo e accessibilità potrebbe portare a una nuova ondata di minacce su scala globale. I sistemi Kaspersky rilevano questa minaccia come HEUR:Trojan-Ransom.Win64.Generic.
*illustrazione articolo progettata da SecureList
The post Il ransomware che usa modelli LLM first appeared on Hackerjournal.it.