Le groupe de ransomware FunkSec, nouveau sur le marché, inquiète les experts en cybersécurité en ce qu'il utilise l'IA pour développer ses logiciels malveillants. Il a déjà fait des dizaines de victimes en à peine quelques semaines.
Un nouveau groupe de ransomware, qui se fait appeler FunkSec, a émergé fin 2024, avec une approche inédite qui retient l'attention des experts cybeer. Selon une analyse de Check Point Research (CPR), le groupe exploite l'intelligence artificielle pour développer ses malwares, tout en oscillant entre hacktivisme et cybercriminalité. Son positionnement comme ransomware-en-tant-que-service (RaaS) et ses méthodes novatrices ouvrent une possible fenêtre d'évolution des menaces de rançongiciels.
L'approche hybride du groupe de hackers FunkSec déroute les experts
FunkSec se distingue en ce qu'il procède à de la double extorsion couplée à des demandes de rançon particulièrement basses, parfois limitées à 10 000 dollars. Le groupe propose ses services en tant que RaaS, un modèle où des cybercriminels louent des ransomwares prêts à l'emploi, tout en revendant les données volées à prix réduit sur le Dark Web.
Une cartographie de leurs attaques révèle une concentration sur les États-Unis (21% des cas), suivis par l'Inde (16%) et le Brésil (5%). L'analyse technique menée par CPR fait état d'un usage extensif de l'intelligence artificielle dans le développement de leurs outils. Les chercheurs ont notamment identifié l'utilisation de la plateforme Miniapps pour créer des chatbots malveillants.
C'est le principal trait de caractéristique de FunkSec. Son code source présente des commentaires en anglais parfait, qui contrastent avec un niveau technique relativement basique, signature caractéristique d'une assistance par intelligence artificielle.
L'enquête des spécialistes de Check Point a permis de remonter jusqu'à l'Algérie, comme point d'origine du groupe. Des captures d'écran analysées ont même révélé des paramètres système en français, et une localisation algérienne. Le groupe entretient d'étroites relations avec plusieurs mouvements hacktivistes locaux, notamment « Ghost Algeria », ce qui peut l'aider à renforcer sa crédibilité.
Un groupe aux revendications douteuses
La crédibilité de FunkSec est en tout cas mise à mal par ses méthodes de communication. En octobre 2024, le groupe a tenté d'asseoir sa notoriété en prétendant avoir intercepté une conversation entre Donald Trump et Benjamin Netanyahu.
Mais l'analyse a rapidement dévoilé qu'il s'agissait d'un enregistrement généré par IA, tandis que les métadonnées de publication ont, elles, révélé des incohérences géographiques.
Check Point Research a également découvert que de nombreuses données prétendument volées provenaient en réalité de fuites antérieures issues de campagnes hacktivistes. Si l'on prend cette pratique de recyclage et qu'on y ajoute des revendications difficilement vérifiables, on a ici affaire à un groupe plus intéressé par la construction de son image que par des capacités techniques réelles.
Quoi qu'il en soit, on note une évolution dans l'évaluation des menaces ransomware. Le cas FunkSec, qui a fait 85 victimes, montre bien la nécessité d'adopter des méthodes d'analyse plus objectives, pour aller au-delà de la simple prise en compte des revendications publiques. CPR recommande notamment le déploiement de solutions de protection avancées, capables de contrer ces nouvelles menaces exploitant l'IA.
