За словами експертів, учасники FunkSec займаються як хактивізмом, так і злочинною діяльністю. Передбачається, що це недосвідчені хакери, які в основному прагнуть отримати популярність і визнання.

Написаний мовою Rust шифрувальник групи, швидше за все, був створений за допомогою ШІ недосвідченим розробником з Алжиру, який вже частково опублікував код вимагального малварі в мережі. Також дослідники Check Point помітили, що в деяких публічних повідомленнях учасники групи пов’язували розробку свого вимагальницького ПЗ зі ШІ, а також запустили ШІ чат-бота на базі Miniapps для підтримки своїх шкідливих операцій.

FunkSec працює за схемою вимагач-як-послуга (ransomware-as-a-service, RaaS) і практикує подвійне вимагання, тобто не просто шифрує файли компаній-жертв, але і викрадає інформацію, погрожуючи оприлюднити вкрадені файли, якщо не отримає викуп.

На своєму сайті для «зливу» даних FunkSec також пропонує кастомний інструмент для DDoS-атак, інструмент для генерації паролів і скрапінгу, а також прихований модуль hVNC, який, як стверджує група, абсолютно неможливо виявити.

Що стосується шифрувальника, після запуску FunkSec виконує ряд команд для відключення таких функцій, як захист Windows Defender в режимі реального часу, журналювання подій додатків і безпеки, обмеження на виконання PowerShell, а також видаляє тіньові копії. Крім того, малварь націлена на завершення приблизно 50 різних процесів, після чого починає пошук файлів для шифрування, додаючи до них розширення .funksec.

Що стосується участі групи в хактивістських кампаніях, дослідники повідомляють, що FunkSec пов’язана з атаками на Індію і США в рамках руху Free Palestine. Також самі хакери заявляли про свою приналежність до таких розпавшихся хактивістських груп, як Ghost Algéria і Cyb3r Fl00d.

«Дані, які зливає FunkSec, часто повторюють інформацію з попередніх хактивістських кампаній, що ставить під сумнів справжність їхніх заяв. Але, незважаючи на ці особливості, активність хакерів в Tor і невеликі суми запитуваних викупів привернули до групи широку увагу на форумах для кіберзлочинців», — відзначають в Check Point.