Vibecoding per creare ransomware: la cybergang FunkSec utilizza l’AI per gli attacchi informatici

Gli specialisti di Kaspersky Lab hanno studiato l’attività del gruppo FunkSec, apparso alla fine del 2024. Le caratteristiche principali del gruppo erano: l’utilizzo di strumenti basati sull’intelligenza artificiale (anche nello sviluppo del ransomware), un elevato grado di adattabilità e attacchi informatici di massa.

Secondo gli esperti, FunkSec attacca organizzazioni del settore pubblico, nonché dei settori IT, finanziario e dell’istruzione in Europa e Asia. Gli operatori di FunkSec in genere richiedono riscatti insolitamente bassi, a volte anche solo di 10.000 dollari. Gli aggressori vendono anche i dati rubati alle loro vittime a un prezzo molto basso.

Gli esperti ritengono che questo approccio consenta di sferrare un gran numero di attacchi informatici e di costruire rapidamente una reputazione all’interno della comunità criminale. Inoltre, la natura massiccia degli attacchi indica che gli aggressori utilizzano l’intelligenza artificiale per ottimizzare e scalare le proprie operazioni.

Il rapporto sottolinea che il ransomware FunkSec si distingue per la sua complessa architettura tecnica e l’utilizzo dell’intelligenza artificiale. Gli sviluppatori del malware hanno incluso la capacità di crittografare completamente e rubare dati in un singolo file eseguibile scritto in Rust. È in grado di terminare oltre 50 processi sui dispositivi delle vittime e dispone di funzionalità di autopulizia, il che rende difficile l’analisi degli incidenti.

Si nota inoltre che FunkSec utilizza metodi avanzati per eludere il rilevamento, il che complica il lavoro dei ricercatori. Lo strumento di crittografia FunkSec non è fornito da solo: oltre ad esso vengono utilizzati un generatore di password (per attacchi brute-force e password spraying) e uno strumento per attacchi DDoS.

In tutti i casi, i ricercatori hanno trovato chiari segni di generazione di codice tramite modelli linguistici di grandi dimensioni (LLM). Ad esempio, molti frammenti di codice non erano chiaramente scritti manualmente, ma automaticamente. Ciò è confermato dai commenti “stub” (ad esempio, “stub per la verifica effettiva”), nonché da incongruenze tecniche. Ad esempio, è stato notato che un programma utilizza comandi per sistemi operativi diversi. Inoltre, la presenza di funzioni dichiarate ma non utilizzate riflette il modo in cui gli LLM combinano diversi frammenti di codice senza eliminare gli elementi non necessari.

“Vediamo sempre più spesso gli aggressori utilizzare l’IA generativa per creare strumenti dannosi. Accelera il processo di sviluppo, consentendo agli aggressori di adattare le loro tattiche più rapidamente e riducendo anche la barriera d’ingresso nel settore. Tuttavia, il codice generato da questo tipo di malware contiene spesso errori, quindi gli aggressori non possono fare pieno affidamento sulle nuove tecnologie in fase di sviluppo”, commenta Tatyana Shishkova, esperta di Kaspersky GReAT.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks