È stato soprannominato FunkSec il nuovo gruppo ransomware emergente individuato dai ricercatori di Check Point che secondo le fonti starebbe mietendo vittime anche in Italia. Parliamo di un gruppo che è comparso nel panorama cyber a fine 2024 (data dell’apertura del sito di rivendicazione) e ha rapidamente guadagnato notorietà perché ha dichiarato di aver colpito oltre 85 vittime nel mese di dicembre, superando qualsiasi altro gruppo ransomware nello stesso periodo.

Sotto l’aspetto tecnico, FunkSec è l’ennesimo gruppo che opera come servizio di Ransomware-as-a-Service e che fa uso di tattiche di doppia estorsione che combinano il furto di dati con la cifratura dei sistemi delle vittime. L'analisi del malware di FunkSec ha rivelato che è stato scritto in linguaggio Rust, noto per la sua efficienza e perché causa non poche difficoltà nella detection.

Il ransomware presenta elementi che indicano l'uso di tecniche di sviluppo malware assistite dall'AI per accelerare i tempi e migliorare le capacità del malware, compensando la mancanza di esperienza tecnica degli sviluppatori. In particolare, i commenti nel codice sono scritti in un inglese fluente, mentre nelle piattaforme del gruppo fa mostra di sé un inglese di livello elementare.

La ripartizione geografica delle vittimeSono molti gli aspetti ancora da chiarire circa le attività e la reale efficacia degli attacchi di questo gruppo. Secondo i ricercatori, le attività di FunkSec si collocano al confine tra hacktivismo e cybercrime: alcuni membri del gruppo hanno precedentemente partecipato ad attività hacktiviste e molte delle informazioni divulgate da FunkSec sembrano essere riciclate da precedenti campagne di hacktivismo. Questo da una parte complica la comprensione delle reali motivazioni alla base degli attacchi e suggerisce possibili commistioni politiche e finanziarie. Al contempo solleva dubbi sull'autenticità delle loro dichiarazioni e sul numero effettivo di vittime.

Proprio circa le vittime, i dati diffusi da Check Point parlano di una localizzazione preponderante negli Stati Uniti, ma l’Italia risulta essere il terzo Paese più colpito con il 5 percento degli attacchi. Al secondo posto c’è l’India, seguono Brasile, Israele e Spagna. Nei casi pubblicamente dichiarati il gruppo ha richiesto riscatti relativamente bassi, a partire da 10.000 dollari, e ha venduto i dati rubati a prezzi stracciati. Tra le vittime elencate sul sito di data lake figurano aziende di prenotazione viaggi, energetiche e di vendita di elettrodomestici. Nessuna delle vittime ha finora confermato pubblicamente gli attacchi.