Marc Rivero, chercheur en cybersécurité chez Kaspersky GReAT (Global Research and Analysis Team).
Lors de sa conférence Horizon, qui s’est tenue à Madrid en ce début de mois de juillet, Kaspersky est revenu sur le fonctionnement de Funksec, un jeune rançongiciel ayant la particularité d’avoir été développé à l’aide d’outils d’intelligence artificielle, et dont les créateurs mettent le code source à disposition de leurs affiliés.
Pas très funky, Funksec. Ce groupe de cybercriminels, actif depuis la fin de l’année 2024 et opérant selon le modèle RaaS (Ransomware as a Service), a développé son rançongiciel en partie à l’aide de l’intelligence artificielle. Son fonctionnement a été décortiqué par Kaspersky lors de son événement Horizon, qui s’est tenu à Madrid le mardi 1er juillet.
« Ce que nous observons […] du côté des cybercriminels, c’est la facilité avec laquelle ils ont adopté l’IA », expliquait en préambule Marc Rivero, chercheur en cybersécurité chez Kaspersky GReAT (Global Research and Analysis Team).
Empêcher la restauration de fichiers
L’IA générative est bien sûr utilisée par les acteurs de la menace pour rédiger des e-mails de phishing, générer des deepfakes dans le cadre d’arnaques au président, automatiser la recherche de cibles potentielles, mais aussi pour créer tout ou partie d’un logiciel malveillant. Et c’est bien dans cette dernière catégorie que s’inscrit Funksec.
Développé en Rust, un langage compilable pour plusieurs architectures (Windows, Linux, macOS), Funksec permet de chiffrer les fichiers… mais pas seulement. Lorsqu’une victime exécute le ransomware sur son système, celui-ci arrête certains services critiques, tels que ceux liés à Office, aux bases de données ou aux lecteurs PDF. Il chiffre ensuite tous les fichiers une fois ces logiciels fermés. Le rançongiciel est également capable d’interrompre certaines solutions de sécurité liées à Active Directory. Il peut exécuter des commandes avec privilèges élevés et supprimer les copies fantômes, ces bases de données permettant de restaurer les fichiers.
Le groupe ne chiffre que certaines extensions de fichiers (bases de données, documents Office, images, PDF, etc.) pour éviter de rendre le système totalement inutilisable — ce qui pourrait empêcher le paiement de la rançon.
Si la personne ayant exécuté le malware a utilisé un mot de passe, Funksec se contente de chiffrer les fichiers. En revanche, si aucun mot de passe n’a été mis en place, il chiffre les fichiers et les exfiltre, permettant ainsi une double extorsion.
Un code source mis à disposition
Kaspersky ignore encore comment le ransomware est diffusé. Les chercheurs supposent que les cybercriminels achètent des identifiants sur le marché noir pour faciliter l’accès initial, misant sur une combinaison nom d’utilisateur/mot de passe valide.
« Imaginons qu’ils ciblent un hôtel : les attaquants rédigent un script dans lequel ils saisissent le nom de domaine de l’établissement. Ce programme explore alors le site web à la recherche de mots de passe potentiellement laissés par inadvertance par les administrateurs. Ces mots de passe peuvent ensuite servir à compromettre un véritable e-mail utilisé en interne », explique Marc Rivero.
Un autre outil mis à disposition permet par ailleurs de lancer des attaques par déni de service (DDoS), destinées à détourner l’attention de l’équipe informatique. Pendant qu’elle tente de gérer l’attaque DDoS, d’autres actions malveillantes peuvent être menées discrètement ailleurs dans le système.
Kaspersky a également relevé des commentaires dans le code « particulièrement clairs », générés par une IA pour en faciliter la compréhension. « Nous avons pu récupérer certaines parties du code qui semblent avoir été écrites par une intelligence artificielle. » Mais au-delà de cet usage, l’aspect le plus préoccupant reste que l’équipe Funksec a fourni un code source prêt à l’emploi, que n’importe qui peut compiler pour devenir affilié. Cela réduit considérablement le seuil de compétence technique nécessaire pour participer à des activités malveillantes.
Funksec opère un site web caché sur le réseau Tor, mais dispose également d’un domaine sur le Clearnet (internet public), nommé « fonsec.tor », permettant aux affiliés ne sachant pas utiliser Tor, ou ne souhaitant pas le faire, d’accéder au site via un navigateur classique comme Chrome ou Firefox. « C’est une pratique courante dans ce type de groupes, et cela facilite l’accès à leur infrastructure pour les affiliés. »
Kaspersky craint que l’intelligence artificielle ne permette aux cybercriminels d’identifier rapidement de nouveaux processus ou services à cibler pour causer davantage de dégâts à une victime. « On voit apparaître de plus en plus de variantes d’un même malware, créées rapidement et facilement grâce à un processus automatisé utilisant l’intelligence artificielle en arrière-plan », conclut Marc Rivero.
