ИИ пишет вирусы: FunkSec атакует Европу и Азию одним исполняемым файлом на Rust

ИИ был создан, чтобы помогать, но теперь он взламывает госорганы и просит $10k.


kbk7a4b2usyeorr9j6vpjysza662dsr8.jpg


Эксперты «Лаборатории Касперского» изучили активность кибергруппы FunkSec, начавшей свою деятельность в конце 2024 года. Среди характерных признаков — применение инструментов на базе искусственного интеллекта, в том числе при разработке программы-вымогателя, широкие функциональные возможности вредоносного ПО, высокая адаптивность и масштабность атак. В качестве целей злоумышленники выбирают организации из госсектора, а также сферы информационных технологий, финансов и образования в Европе и Азии.

Программа-вымогатель FunkSec выделяется сложной технической архитектурой и интеграцией ИИ. Её разработчики реализовали в одном исполняемом файле на языке Rust возможности как полномасштабного шифрования, так и кражи данных. Этот файл способен отключать более 50 процессов на устройствах жертв и содержит функции самоочистки, что затрудняет расследование инцидентов. FunkSec использует усовершенствованные приёмы для обхода обнаружения и препятствует работе аналитиков.

В дополнение к шифровальщику FunkSec распространяет дополнительные инструменты — генератор паролей (для атак методом перебора и распыления) и утилиту для проведения DDoS-атак. В каждом из этих компонентов специалисты обнаружили признаки генерации кода с помощью больших языковых моделей (LLM).

Создатели FunkSec активно используют генеративный ИИ при разработке. По всей видимости, значительная часть кода была создана не вручную, а автоматически. На это указывают такие признаки, как шаблонные комментарии-заглушки (например, «заглушка для фактической проверки»), команды одновременно для разных операционных систем в одном файле, а также наличие задекларированных, но неиспользуемых функций. Эти элементы свидетельствуют о том, как LLM объединяют отдельные фрагменты кода, не удаляя избыточные части.

По оценке аналитиков, злоумышленники всё чаще применяют генеративный ИИ для создания вредоносных инструментов. Это ускоряет разработку, позволяет быстрее менять тактики и снижает порог вхождения в сферу киберпреступности. Вместе с тем автоматически созданный код часто содержит ошибки, и злоумышленники не могут полностью полагаться на такие технологии в процессе разработки.

FunkSec требует относительно небольшой выкуп — иногда менее 10 тысяч долларов США. При этом похищенные данные злоумышленники продают по невысокой цене. Такой подход позволяет им осуществлять большое количество кибератак и быстро завоёвывать репутацию внутри теневого сообщества. Массовость операций дополнительно подтверждает использование искусственного интеллекта для оптимизации и масштабирования деятельности группы.