ИИ пишет вирусы: FunkSec атакует Европу и Азию одним исполняемым файлом на Rust
NewsMakerИИ был создан, чтобы помогать, но теперь он взламывает госорганы и просит $10k.
Эксперты «Лаборатории Касперского» изучили активность кибергруппы FunkSec, начавшей свою деятельность в конце 2024 года. Среди характерных признаков — применение инструментов на базе искусственного интеллекта, в том числе при разработке программы-вымогателя, широкие функциональные возможности вредоносного ПО, высокая адаптивность и масштабность атак. В качестве целей злоумышленники выбирают организации из госсектора, а также сферы информационных технологий, финансов и образования в Европе и Азии.
Программа-вымогатель FunkSec выделяется сложной технической архитектурой и интеграцией ИИ. Её разработчики реализовали в одном исполняемом файле на языке Rust возможности как полномасштабного шифрования, так и кражи данных. Этот файл способен отключать более 50 процессов на устройствах жертв и содержит функции самоочистки, что затрудняет расследование инцидентов. FunkSec использует усовершенствованные приёмы для обхода обнаружения и препятствует работе аналитиков.
В дополнение к шифровальщику FunkSec распространяет дополнительные инструменты — генератор паролей (для атак методом перебора и распыления) и утилиту для проведения DDoS-атак. В каждом из этих компонентов специалисты обнаружили признаки генерации кода с помощью больших языковых моделей (LLM).
Создатели FunkSec активно используют генеративный ИИ при разработке. По всей видимости, значительная часть кода была создана не вручную, а автоматически. На это указывают такие признаки, как шаблонные комментарии-заглушки (например, «заглушка для фактической проверки»), команды одновременно для разных операционных систем в одном файле, а также наличие задекларированных, но неиспользуемых функций. Эти элементы свидетельствуют о том, как LLM объединяют отдельные фрагменты кода, не удаляя избыточные части.
По оценке аналитиков, злоумышленники всё чаще применяют генеративный ИИ для создания вредоносных инструментов. Это ускоряет разработку, позволяет быстрее менять тактики и снижает порог вхождения в сферу киберпреступности. Вместе с тем автоматически созданный код часто содержит ошибки, и злоумышленники не могут полностью полагаться на такие технологии в процессе разработки.
FunkSec требует относительно небольшой выкуп — иногда менее 10 тысяч долларов США. При этом похищенные данные злоумышленники продают по невысокой цене. Такой подход позволяет им осуществлять большое количество кибератак и быстро завоёвывать репутацию внутри теневого сообщества. Массовость операций дополнительно подтверждает использование искусственного интеллекта для оптимизации и масштабирования деятельности группы.

Эксперты «Лаборатории Касперского» изучили активность кибергруппы FunkSec, начавшей свою деятельность в конце 2024 года. Среди характерных признаков — применение инструментов на базе искусственного интеллекта, в том числе при разработке программы-вымогателя, широкие функциональные возможности вредоносного ПО, высокая адаптивность и масштабность атак. В качестве целей злоумышленники выбирают организации из госсектора, а также сферы информационных технологий, финансов и образования в Европе и Азии.
Программа-вымогатель FunkSec выделяется сложной технической архитектурой и интеграцией ИИ. Её разработчики реализовали в одном исполняемом файле на языке Rust возможности как полномасштабного шифрования, так и кражи данных. Этот файл способен отключать более 50 процессов на устройствах жертв и содержит функции самоочистки, что затрудняет расследование инцидентов. FunkSec использует усовершенствованные приёмы для обхода обнаружения и препятствует работе аналитиков.
В дополнение к шифровальщику FunkSec распространяет дополнительные инструменты — генератор паролей (для атак методом перебора и распыления) и утилиту для проведения DDoS-атак. В каждом из этих компонентов специалисты обнаружили признаки генерации кода с помощью больших языковых моделей (LLM).
Создатели FunkSec активно используют генеративный ИИ при разработке. По всей видимости, значительная часть кода была создана не вручную, а автоматически. На это указывают такие признаки, как шаблонные комментарии-заглушки (например, «заглушка для фактической проверки»), команды одновременно для разных операционных систем в одном файле, а также наличие задекларированных, но неиспользуемых функций. Эти элементы свидетельствуют о том, как LLM объединяют отдельные фрагменты кода, не удаляя избыточные части.
По оценке аналитиков, злоумышленники всё чаще применяют генеративный ИИ для создания вредоносных инструментов. Это ускоряет разработку, позволяет быстрее менять тактики и снижает порог вхождения в сферу киберпреступности. Вместе с тем автоматически созданный код часто содержит ошибки, и злоумышленники не могут полностью полагаться на такие технологии в процессе разработки.
FunkSec требует относительно небольшой выкуп — иногда менее 10 тысяч долларов США. При этом похищенные данные злоумышленники продают по невысокой цене. Такой подход позволяет им осуществлять большое количество кибератак и быстро завоёвывать репутацию внутри теневого сообщества. Массовость операций дополнительно подтверждает использование искусственного интеллекта для оптимизации и масштабирования деятельности группы.