<div id="post_message_805606">

Специалисты «Лаборатории Касперского» изучили активность группировки FunkSec, которая появилась в конце 2024 года. Основными особенностями группы оказались: применение инструментов на основе ИИ (в том числе при разработке шифровальщика), высокая степень адаптивности и массовость кибератак<br/>
<br/>
По словам экспертов, FunkSec атакует организации из госсектора, а также сфер ИТ, финансов и образования в странах Европы и Азии.<br/>
<br/>
Как правило, операторы FunkSec требуют необычно маленькие выкупы — иногда не более 10 000 долларов США. Кроме того, злоумышленники продают украденные у жертв данные по весьма невысокой цене.<br/>
<br/>
Эксперты считают, что такой подход позволяет проводить большое количество кибератак и быстро нарабатывать репутацию в криминальном сообществе. Кроме того, массовость атак указывает на то, что злоумышленники применяют ИИ для оптимизации и масштабирования своих операций.<br/>
<br/>
В отчете отмечается, что вымогательскую малварь FunkSec отличает сложная техническая архитектура и использование ИИ. Разработчики вредоноса включили возможность полномасштабного шифрования и кражи данных в один исполняемый файл, написанный на Rust. Он способен завершать более 50 процессов на устройствах жертв и оснащен функциями самоочистки, что затрудняет анализ инцидентов.<br/>
<br/>
Также отмечается, что FunkSec использует продвинутые методы для уклонения от обнаружения, что усложняет работу исследователей.<br/>
<br/>
Шифровальщик FunkSec поставляется не сам по себе: в дополнение к нему используются генератор паролей (для проведения брутфорс-атак и password spraying), а также инструмент для DDoS-атак.<br/>
<br/>
Причем во всех случаях исследователи обнаружили явные признаки генерации кода с использованием больших языковых моделей (LLM). Так, многие фрагменты кода явно написаны не вручную, а автоматически. Это подтверждают комментарии-заглушки (например, «заглушка для фактической проверки»), а также технические несоответствия. К примеру, было замечено, что в одной программе используются команды для разных операционных систем. Вдобавок наличие задекларированных, но не используемых функций отражает, как LLM объединяют несколько фрагментов кода без обрезки лишних элементов.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">

«Мы все чаще видим, что злоумышленники используют генеративный ИИ для создания вредоносных инструментов. Он ускоряет процесс разработки, позволяя атакующим быстрее адаптировать свои тактики, а также снижает порог вхождения в индустрию. Но такой сгенерированный код часто содержит ошибки, так что злоумышленники не могут полностью полагаться на новые технологии в разработке», — комментирует Татьяна Шишкова, ведущий эксперт Kaspersky GReAT.

</td>
</tr>
</table>
</div>© <a href="https://xakep.ru/2025/07/25/funksec-ai/" target="_blank">https://xakep.ru/2025/07/25/funksec-ai/</a>
</div>