A finales de 2024, un nuevo grupo de ransomware llamado FunkSec apareció en escena y rápidamente llamó la atención al publicar más de 85 víctimas en un solo mes, superando a cualquier otra banda de ransomware en diciembre. Se presenta como una nueva operación de Ransomware como Servicio (RaaS), pero lo curioso es que no parece estar vinculado a otros grupos conocidos. Sin embargo, detrás de sus impactantes cifras podría haber más espectáculo que realidad.
Las investigaciones sugieren que muchas de sus supuestas filtraciones podrían ser recicladas de ataques previos de hacktivistas, y que la mayoría de los miembros que ejecutan sus operaciones son hackers inexpertos. Entonces, ¿realmente estamos ante una nueva gran amenaza o simplemente ante un grupo buscando notoriedad?
Lo que sí es cierto es que FunkSec parece estar aprovechando la inteligencia artificial para mejorar sus tácticas, haciendo que sus ataques sean más difíciles de detectar y combatir. En este artículo, exploraremos qué hay de cierto en el auge de FunkSec y cómo la IA está influyendo en el ransomware.
El origen de FunkSec y cómo opera
FunkSec es un grupo de ransomware relativamente nuevo que salió a la luz en diciembre de 2024 con el lanzamiento de su propio sitio de filtración de datos. Básicamente, crearon un espacio para publicar información robada y centralizar sus operaciones. Como muchas otras bandas de ransomware, usan la táctica de doble extorsión: primero roban datos y luego los cifran, exigiendo un pago para devolver el acceso y evitar que la información se haga pública.
Su sitio no solo muestra las filtraciones de sus víctimas, sino que también incluye una herramienta de ataques DDoS hecha a la medida y, más recientemente, un ransomware propio que ofrecen como Ransomware como Servicio (RaaS). Esto significa que cualquier ciberdelincuente, incluso sin conocimientos técnicos avanzados, puede "alquilar" su ransomware y lanzar ataques a cambio de una parte del dinero del rescate.
Sitio de filtración de datos de FunkSec
FunkSec no tardó en llamar la atención con su enfoque agresivo y la cantidad de ataques que reclamaban haber realizado: más de 85 víctimas en poco más de un mes. Pero lo que realmente sorprendió a muchos fue su estrategia para hacer dinero. A diferencia de otros grupos de ransomware que piden sumas millonarias, FunkSec exigía rescates sorprendentemente bajos, a veces de tan solo $10,000. Y si la víctima no pagaba, en lugar de quedarse con los datos, los vendían a terceros a precios bastante accesibles.
Su actividad no ha pasado desapercibida en la comunidad del cibercrimen. En los foros clandestinos, FunkSec es un tema recurrente de conversación, lo que ha ayudado a aumentar su notoriedad y, posiblemente, atraer más colaboradores o clientes interesados en su modelo de negocio.
Distribución de las víctimas reclamadas por FunkSec por país
Podría interesarte leer: Las Nuevas Bandas de Ransomware en 2025
Lo que ofrece FunkSec: Su ransomware en evolución
FunkSec no solo ataca a empresas y filtra datos, sino que también ha comenzado a ofrecer su propio ransomware, el cual parece estar en constante evolución. Sus operadores lanzan nuevas versiones con apenas días de diferencia, y cada vez que lo hacen, actualizan su sitio para presumir las mejoras. En su último lanzamiento, la versión V1.5, se jactaron de que su malware era casi indetectable, incluso compartieron una captura de VirusTotal donde solo tres antivirus lograban detectarlo en ese momento.
El archivo en cuestión, llamado dev.exe (con el hash 5226ea8e0f516565ba825a1bbed10020982c16414750237068b602c5b4ac6abd), fue subido desde una ubicación en Argelia y, efectivamente, en ese momento solo tres motores de seguridad lo marcaban como malicioso. Su ransomware usa la extensión “.funksec”, está programado en Rust y fue compilado en un entorno identificado como C:\Users\Abdellah.
Al analizar todas sus versiones, se encontró que este malware sigue en desarrollo y parece ser obra de un programador con poca experiencia. La mayoría de las muestras fueron subidas desde Argelia, lo que apunta a que el propio autor podría estar detrás de ellas. Además, se descubrió dos variantes de las notas de rescate: una firmada como FunkSec y otra con el nombre Ghost Argelia, lo que refuerza la teoría de que su desarrollador proviene de ese país.
Notas de ransomware utilizadas por FunkLocker y Ghost Argelia.
Conoce más sobre: Evita el Pago de Ransomware: Riesgos del Rescate
FunkSec también filtró su propio código fuente
En un giro curioso, el autor del ransomware también subió partes del código fuente del malware a VirusTotal. Este código, escrito en Rust, apareció en la plataforma el 15 de diciembre, con el nombre de archivo ransomware.rs, y al igual que otras muestras, fue subido desde Argelia. Se trata de una versión simplificada del ransomware, lo que sugiere que aún está en desarrollo. Este prototipo ya cuenta con funciones clave, como:
- Cifrar archivos en el sistema de la víctima, específicamente en *C:*, usando una combinación de RSA y AES. Una vez cifrados, los archivos originales se eliminan y se reemplazan por versiones con la extensión .funksec.
- Crear una nota de rescate (readme.me) con instrucciones para pagar el rescate y recuperar los archivos.
- Modificar el entorno del sistema, como cambiar el fondo de pantalla a negro.
- Comprobar privilegios administrativos/root antes de ejecutarse.
Más que ransomware: las herramientas de FunkSec
Además de su malware, FunkSec también ofrece otras herramientas, muchas de ellas relacionadas con el hacktivismo y ataques cibernéticos. Algunas de las más destacadas incluyen:
- FDDOS – “Scorpion DDoS”: Una herramienta en Python para lanzar ataques de denegación de servicio distribuido (DDoS) usando métodos de inundación HTTP o UDP.
- JQRAXY_HVNC: Un software en C++ diseñado para administración remota de escritorios, automatización de tareas e interacción con datos.
- Funkgenerate: Una herramienta para generar y extraer contraseñas, capaz de recolectar credenciales de URLs específicas y sugerir combinaciones de claves potenciales.
Todo esto refuerza la idea de que FunkSec no es solo un grupo de ransomware, sino que también busca ofrecer herramientas para distintos tipos de ataques cibernéticos.
Conclusión: ¿FunkSec es una amenaza real o puro marketing?
FunkSec ha logrado captar la atención del mundo de la ciberseguridad, pero cuando miramos más de cerca, su imagen de grupo peligroso no es tan sólida como parece. Su ransomware, desarrollado por un programador argelino sin mucha experiencia, incorpora elementos de inteligencia artificial que le permiten evolucionar rápido, pero sigue siendo un trabajo en progreso.
Además, muchas de sus filtraciones de datos parecen ser recicladas de ataques anteriores de hacktivistas, lo que genera dudas sobre la autenticidad de sus reclamos. Aun así, su modelo basado en la dark web y rescates relativamente bajos ha generado bastante revuelo en foros de ciberdelincuencia.
Este caso deja en evidencia tres grandes tendencias en la ciberseguridad actual:
- El papel de la IA en el desarrollo de malware, permitiendo que incluso hackers inexpertos lancen ataques sofisticados.
- La línea borrosa entre hacktivismo y cibercrimen, donde algunos grupos mezclan causas políticas con tácticas criminales.
- La dificultad de evaluar amenazas reales, ya que muchas veces dependemos de lo que los propios atacantes dicen sobre sus logros.
