Эксперты Kaspersky GReAT напоминают об актуальности угрозы программ-вымогателей
Эксперты Kaspersky GReAT (Глобального центра исследования и анализа угроз «Лаборатории Касперского») изучили активность кибергруппы FunkSec, которая появилась в конце 2024 года. Её характерные особенности: применение инструментов на основе ИИ, в том числе при разработке программы-шифровальщика, многофункциональность используемого зловреда, высокая степень адаптивности и массовость кибератак. Среди целей группы — организации из госсектора, а также сфер ИТ, финансов и образования в Европе и Азии.
Обширная функциональность. Программу-вымогатель
FunkSec отличает
сложная техническая архитектура и использование ИИ. Разработчики зловреда
включили возможность полномасштабного шифрования и кражи данных в один
исполняемый файл, написанный на Rust. Он способен отключать более 50 процессов
на устройствах жертв и оснащён функциями самоочистки, что затрудняет анализ
инцидентов. FunkSec использует продвинутые методы, чтобы избежать обнаружения и усложнить
работу исследователей.
Не просто вымогатель. FunkSec поставляется
не сам по себе: в дополнение к программе-шифровальщику идут и другие
инструменты — генератор паролей (для проведения атак методом перебора и
распыления) и инструмент для DDoS-атак.
Во всех случаях есть явные признаки синтеза кода с использованием больших
языковых моделей (LLM).
Код пишет ИИ. Создатели FunkSec активно используют для разработки генеративный ИИ. Похоже, что многие фрагменты кода написаны не вручную, а автоматически. Это подтверждают общие комментарии-заглушки (например, «заглушка для фактической проверки») и технические несоответствия. Так, в одной программе используются команды для разных операционных систем. Вдобавок наличие задекларированных, но не используемых функций отражает, как большие языковые модели объединяют несколько фрагментов кода без обрезки лишних элементов.
«Мы всё чаще видим, что злоумышленники используют генеративный ИИ для создания вредоносных инструментов. Он ускоряет процесс разработки, позволяя атакующим быстрее адаптировать свои тактики, а также снижает порог вхождения в индустрию. Но такой сгенерированный код часто содержит ошибки, так что злоумышленники не могут полностью полагаться на новые технологии в разработке», — комментирует Татьяна Шишкова, ведущий эксперт Kaspersky GReAT.
FunkSec требует необычно маленький выкуп, иногда не более 10 тысяч долларов США. Кроме того, злоумышленники продают украденные данные по невысокой цене. Такой подход позволяет им проводить большое количество кибератак и быстро нарабатывать репутацию в теневом сообществе. Массовость ещё раз указывает на то, что злоумышленники используют искусственный интеллект для оптимизации и масштабирования своих операций.
Продукты «Лаборатории Касперского» детектируют угрозу как HEUR:Trojan-Ransom.Win64.Generic.
Для защиты от кибератак программ-вымогателей эксперты «Лаборатории Касперского» рекомендуют организациям:
- регулярно обновлять ПО на всех устройствах, чтобы избежать использования уязвимостей злоумышленниками для проникновения во внутреннюю сеть;
- в рамках стратегии защиты сосредоточиться на обнаружении горизонтального перемещения, а также утечек данных в интернете. Особенно внимательно стоит отслеживать исходящий трафик, чтобы своевременно выявить подключение злоумышленников ко внутренней сети;
- создавать резервные копии данных офлайн, в которые атакующие не смогут внести изменения. Важно убедиться, что к ним можно быстро получить доступ при необходимости либо в случае инцидента;
- предоставлять SOC-командам доступ к свежей информации о новейших тактиках, техниках и процедурах злоумышленников (TI), а также регулярно повышать их навыки с помощью специальных тренингов;
- использовать комплексную защиту компаний от широкого спектра киберугроз, например Kaspersky Symphony. Эта линейка продуктов обеспечивает защиту в режиме реального времени, всеобъемлющую видимость угроз, их исследование и реагирование класса EDR и XDR. Она подходит для организаций любого масштаба и отрасли, поскольку предусматривает несколько уровней защиты в зависимости от потребностей и ресурсов бизнеса.
О Kaspersky GReAT
Глобальный центр исследования и анализа угроз Kaspersky GReAT основан в 2008 году. В его задачи входит поиск и исследование наиболее сложных атак, кампаний кибершпионажа, новых методов заражения, эксплойтов, использующих уязвимости нулевого дня. Сегодня в команде центра более 30 экспертов, работающих по всему миру — в Европе, России, Южной Америке, Азии, на Ближнем Востоке. Они известны своими достижениями в расследовании наиболее сложных атак, включая кампании кибершпионажа и киберсаботажа.
