{"version":"1.0","type":"rich","provider_name":"Acast","provider_url":"https://acast.com","height":250,"width":700,"html":"<iframe src=\"https://embed.acast.com/$/6775c7c6c82b0a6413df24e3/6847ac70d61256a5782f4186?\" frameBorder=\"0\" width=\"700\" height=\"250\"></iframe>","title":"IPGR Investigación 5 - Ransomware Funksec","thumbnail_width":200,"thumbnail_height":200,"thumbnail_url":"https://open-images.acast.com/shows/6775c7c6c82b0a6413df24e3/1749527220191-0364098a-e115-4741-bcb1-43fa43209275.jpeg?height=200","description":"<p>Investigación Profunda de Grupos de Ransomware</p><p>Investigación 5 - Ransomware Funksec</p><p><br></p><p>Redes Sociales</p><p>blueteam.smi@hotmail.com</p><p>https://shows.acast.com/blueteam-sin-morir-en-el-intento</p><p>https://linkedin.com/company/blue-team-smi</p><p>https://x.com/blueteam_smi</p><p>https://www.youtube.com/@BlueTeamSMI</p><p><br></p><p>Donativo</p><p>https://buymeacoffee.com/btsmi</p><p><br></p><p>1. Identificación</p><p>Aparición: Octubre de 2024.</p><p>Origen: Presuntamente Argelia, por conexiones con hacktivistas locales.</p><p>Víctimas: Unas 172 organizaciones en EE. UU., India, España, Mongolia, Israel, etc.</p><p><br></p><p>2. Perfil y evolución</p><p>Actores clave:</p><p>Scorpion/DesertStorm: Primer promotor en foros y YouTube; OPSEC falló al filtrar su ubicación.</p><p>El_Farado: Sucesor con poca experiencia técnica.</p><p>Afiliados: XTN, Blako, Bjorka, aportan clasificación de datos y difusión.</p><p>Imagen política: Referencias a Ghost Algéria y Cyb3r Fl00d para aparentar motivación hacktivista.</p><p>IA en el malware: “FunkLocker” (Rust) creado o asistido por IA, acelerando el desarrollo.</p><p><br></p><p>3. Operaciones y TTPs</p><p>Modelo RaaS y doble extorsión: Afiliados ejecutan el ransomware; cifra datos y amenaza con filtrarlos.</p><p>Rescate: 0,1 BTC (~10 000 USD), con casos desde 5 000 USD; estrategia “spray &amp; pray”.</p><p>Tácticas MITRE:</p><p>Acceso: Phishing (T1566), exploits web (T1190).</p><p>Ejecución: Engaño al usuario (T1204).</p><p>Escalada: Tokens (T1134), exploits locales (T1068).</p><p>Evasión: Borrado de evidencias (T1070), desactivación de defensas (T1562).</p><p>Credenciales: Fuerza bruta (T1110), volcado de credenciales (T1003).</p><p>Descubrimiento: Info del sistema (T1082), servicios de red (T1046).</p><p>Movimiento lateral: Servicios remotos (T1021).</p><p>Exfiltración: Vía web (T1567).</p><p>Impacto: Inhibe recuperación (T1490), cifrado (T1486).</p><p><br></p><p>4. Infraestructura</p><p>Herramientas: FunkLocker, Funkgenerate.zip, ddos1.py/FDDOS, Scorpion DDoS Tool, JQRAXY (HVNC), ReactGPT, Rclone.</p><p><br></p><p>5. Análisis técnico</p><p>Persistencia: Tarea programada “funksec”.</p><p>Evasión: Desactiva Defender/BitLocker; limpia registros (wevtutil cl); PowerShell Bypass.</p><p>Antianálisis: Detecta VMs; comprueba privilegios (net session).</p><p>Cifrado: RSA-2048, AES-256, XChaCha20; extensión .funksec.</p><p>Autocopia: Se replica en todas las unidades (A:–Z:).</p><p>UI: Descarga y aplica fondo de pantalla remoto antes de cifrar.</p><p><br></p><p>6. Victimología</p><p>Sectores impactados: Tecnología, gobierno, servicios empresariales, educación, finanzas, salud, energía, manufactura, transporte, hospitalidad y agricultura.</p><p><br></p><p>7. Contramedidas</p><p>Prevención: Copias de seguridad inmutables, parches regulares, segmentación de red, mínimos privilegios, MFA, EDR/IDS con alertas de comandos sospechosos.</p><p>Respuesta: Aislar sistemas, notificar autoridades, evaluar desencriptadores, restaurar desde backups, revisar telemetría y reforzar controles.</p><p><br></p><p>URL´s</p><p>https://www.checkpoint.com/es/cyber-hub/threat-prevention/ransomware/funksec-ransomware-ai-powered-group/&nbsp;</p><p>https://research.checkpoint.com/2025/funksec-alleged-top-ransomware-group-powered-by-ai/</p><p>Video sugerido que pasos deben tomarse en caso de infección&nbsp;</p><p>https://youtu.be/cMZ4apzfKjQ</p>","author_name":"Jose Rojas"}