FunkLocker: Как искусственный интеллект создает новое поколение вымогателей

Анализ многочисленных образцов FunkLocker выявил характерные признаки «сниппетного» программирования: разработчики получают фрагменты кода от ИИ и вставляют их без глубокой доработки. Такой подход приводит к значительной нестабильности разных версий - некоторые сборки едва функционируют, тогда как другие демонстрируют продвинутые возможности, включая проверки на наличие виртуальной среды.

Агрессивная тактика разрушения

Сразу после запуска FunkLocker начинает агрессивную атаку на систему, используя предопределенные списки процессов и служб для принудительного завершения. Злоумышленники активно злоупотребляют легитимными системными утилитами Windows: taskkill.exe для остановки приложений, sc.exe для управления службами, net.exe для обнаружения сетевых ресурсов и PowerShell для отключения защитных механизмов.

Интересно, что подход к остановке служб выглядит непродуманным - программа пытается завершить несуществующие службы и игнорирует зависимости между сервисами, вызывая многочисленные ошибки. Это свидетельствует о поверхностном подходе к разработке, когда список целевых служб составлялся без глубокого понимания системных взаимосвязей.

Локальное шифрование и проблемы операционной безопасности

В отличие от многих современных групп вымогателей, FunkLocker работает полностью автономно - шифрование файлов происходит локально без обращения к командному серверу. Все зашифрованные файлы получают расширение .funksec. Хотя такой подход теоретически усложняет отслеживание киберпреступников, на практике он создает серьезные уязвимости в их операционной безопасности.

Исследователи из Avast Labs обнаружили, что группа повторно использует Bitcoin-кошельки для разных жертв, а ключи шифрования либо генерируются локально, либо жестко прописаны в коде. Эти просчеты позволили разработать публичный дешифратор для пострадавших организаций.

Тактики MITRE ATT&CK

Деятельность FunkLocker соответствует нескольким техникам из матрицы MITRE ATT&CK. Программа использует маскировку под легитимные ресурсы (T1036.005), останавливает системные службы (T1489), выполняет PowerShell-скрипты (T1059.001), обнаруживает сетевые ресурсы (T1135) и блокирует восстановление системы через удаление теневых копий (T1490).

География атак и цели

По данным на начало 2025 года, с группой FunkSec связывают более 120 компрометаций организаций по всему миру. Основными целями стали государственные учреждения, оборонный сектор, технологические компании, финансовые службы и высшие учебные заведения. Первые атаки были зафиксированы в ноябре 2024 года, а в декабре группа запустила специализированный сайт для публикации украденных данных.

Рекомендации для служб безопасности

Эксперты подчеркивают, что появление ИИ-ассистированных программ-вымогателей требует пересмотра подходов к кибербезопасности. Приоритетом должно стать поведенческое обнаружение, поскольку статические индикаторы становятся менее эффективными при постоянной модификации кода. Критически важной становится возможность быстрого анализа полной цепочки выполнения вредоносного кода.

Службам безопасности рекомендуется уделять особое внимание тестированию процедур восстановления, учитывая, что современные вымогатели активно блокируют стандартные механизмы отката системы. Также важно использовать инструменты с искусственным интеллектом для усиления возможностей аналитиков и сокращения времени расследования инцидентов.

FunkLocker представляет не просто очередную угрозу, а сигнал о грядущих изменениях в ландшафте киберпреступности. Будущее программ-вымогателей становится более быстрым, хаотичным и частым, что требует соответствующей подготовки от организаций по всему миру.

SHA256

• c233aec7917cf34294c19dd60ff79a6e0fac5ed6f0cb57af98013c08201a7a1c
• e29d95bfb815be80075f0f8bef4fa690abcc461e31a7b3b73106bfcd5cd79033