Специалисты «Лаборатории Касперского» изучили активность группировки FunkSec, которая появилась в конце 2024 года. Основными особенностями группы оказались: применение инструментов на основе ИИ (в том числе при разработке шифровальщика), высокая степень адаптивности и массовость кибератак По словам экспертов, FunkSec атакует организации из госсектора, а также сфер ИТ, финансов и образования в странах Европы и Азии. Как правило, операторы FunkSec требуют необычно маленькие выкупы — иногда не более 10 000 долларов США. Кроме того, злоумышленники продают украденные у жертв данные по весьма невысокой цене. Эксперты считают, что такой подход позволяет проводить большое количество кибератак и быстро нарабатывать репутацию в криминальном сообществе. Кроме того, массовость атак указывает на то, что злоумышленники применяют ИИ для оптимизации и масштабирования своих операций. В отчете отмечается, что вымогательскую малварь FunkSec отличает сложная техническая архитектура и использование ИИ. Разработчики вредоноса включили возможность полномасштабного шифрования и кражи данных в один исполняемый файл, написанный на Rust. Он способен завершать более 50 процессов на устройствах жертв и оснащен функциями самоочистки, что затрудняет анализ инцидентов. Также отмечается, что FunkSec использует продвинутые методы для уклонения от обнаружения, что усложняет работу исследователей. Шифровальщик FunkSec поставляется не сам по себе: в дополнение к нему используются генератор паролей (для проведения брутфорс-атак и password spraying), а также инструмент для DDoS-атак. Причем во всех случаях исследователи обнаружили явные признаки генерации кода с использованием больших языковых моделей (LLM). Так, многие фрагменты кода явно написаны не вручную, а автоматически. Это подтверждают комментарии-заглушки (например, «заглушка для фактической проверки»), а также технические несоответствия. К примеру, было замечено, что в одной программе используются команды для разных операционных систем. Вдобавок наличие задекларированных, но не используемых функций отражает, как LLM объединяют несколько фрагментов кода без обрезки лишних элементов. «Мы все чаще видим, что злоумышленники используют генеративный ИИ для создания вредоносных инструментов. Он ускоряет процесс разработки, позволяя атакующим быстрее адаптировать свои тактики, а также снижает порог вхождения в индустрию. Но такой сгенерированный код часто содержит ошибки, так что злоумышленники не могут полностью полагаться на новые технологии в разработке», — комментирует Татьяна Шишкова, ведущий эксперт Kaspersky GReAT.