Check Point Research detectó a FunkSec, un grupo de ransomware que usa IA para desarrollar malware avanzado rápidamente, accesible incluso para usuarios inexpertos.
Sobre FunkSec
FunkSec emergió a finales de 2024 y rápidamente se destacó como uno de los grupos de ransomware más activos, divulgando datos de más de 85 víctimas en ese periodo de tiempo, superando a todos los demás grupos ese mes. Proporciona Ransomware as a Service (RaaS) y emplea tácticas de doble extorsión, combinando el cifrado con el robo de datos para presionar a las víctimas a pagar el rescate. Más del 20% de sus víctimas están ubicadas en Estados Unidos [2].
Como opera este ransomware
Al activarse, el ransomware FunkSec lleva a cabo una serie de comandos diseñados para desactivar funciones clave de seguridad. Estas incluyen la protección en tiempo real de Windows Defender, el registro de eventos de seguridad y aplicaciones, y las restricciones de ejecución en PowerShell. Además, elimina las copias de seguridad de instantáneas, dificultando la recuperación del sistema [3].
El malware ataca específicamente unos 50 procesos, forzando su cierre, y posteriormente inicia la búsqueda de archivos para cifrarlos. A cada archivo afectado se le añade la extensión ‘.funksec’, tras lo cual genera y guarda una nota de rescate en el disco.
Indicadores de compromiso
Tabla 1 Indicadores de compromiso. Tomado de: [4].
| Valor | Tipo de Hash | Tipo archivo |
| 20ed21bfdb7aa970b12e7368eba8e26a711752f1cc5416b6fd6629d0e2a44e5d | SHA256 | Win32 EXE |
| e622f3b743c7fc0a011b07a2e656aa2b5e50a4876721bcf1f405d582ca4cda22 | SHA256 | Win32 EXE |
| 5226ea8e0f516565ba825a1bbed10020982c16414750237068b602c5b4ac6abd | SHA256 | Win32 EXE |
| 7e223a685d5324491bcacf3127869f9f3ec5d5100c5e7cb5af45a227e6ab4603 | SHA256 | Win32 EXE |
| dcf536edd67a98868759f4e72bcbd1f4404c70048a2a3257e77d8af06cb036ac | SHA256 | Win32 EXE |
| 66dbf939c00b09d8d22c692864b68c4a602e7a59c4b925b2e2bef57b1ad047bd | SHA256 | Win32 EXE |
| dd15ce869aa79884753e3baad19b0437075202be86268b84f3ec2303e1ecd966 | SHA256 | Win32 EXE |
| b1ef7b267d887e34bf0242a94b38e7dc9fd5e6f8b2c5c440ce4ec98cc74642fb | SHA256 | Win32 EXE |
| c233aec7917cf34294c19dd60ff79a6e0fac5ed6f0cb57af98013c08201a7a1c | SHA256 | Win32 EXE |
Recomendaciones
- Mantener los sistemas actualizados: instalar los últimos parches de seguridad para sistemas operativos, aplicaciones y dispositivos conectados.
- Habilitar protección contra manipulaciones: activar la «Protección contra alteraciones» en Windows Defender para evitar que los atacantes desactiven esta herramienta.
- Restringir el uso de PowerShell: configurar políticas que limiten la ejecución de PowerShell solo a usuarios o scripts firmados y aprobados.
- Controlar permisos de administrador: limitar los accesos de administrador a los usuarios estrictamente necesarios y auditar regularmente los privilegios.
Referencia:
[1] «Check Point Research,» [En línea]. Available: https://research.checkpoint.com/2025/funksec-alleged-top-ransomware-group-powered-by-ai/.
[2] «CHECK POINT,» [En línea]. Available: https://blog.checkpoint.com/research/meet-funksec-a-new-surprising-ransomware-group-powered-by-ai/.
[3] A. Ionut, «Security Week,» [En línea]. Available: https://www.securityweek.com/emerging-funksec-ransomware-developed-using-ai/.
[4] «BTTng | Open Source Intelligence,» [En línea]. Available: https://bttng.apura.com.br/blog/ransomware-funksec-analise-geral-atualizado-jkC2VJ5xsMK5zdLU7VqPEQ.
