KI-gestützte Ransomware FunkSec: Kaspersky untersucht passwortgesteuerte Funktionen

Im Rahmen der europäischen Konferenz Kaspersky Horizons, die vom 30. Juni bis 2. Juli 2025 in Madrid stattfindet, stellt Kaspersky seine aktuelle Forschung zur Ransomware-Gruppe FunkSec vor. Sie ist ein Beispiel dessen, wie die Zukunft der auf Masse ausgelegten Cyberkriminalität aussehen könnte: KI-gestützt, multifunktional, hochgradig anpassungsfähig und volumenorientiert mit Lösegeldforderungen schon ab nur 10.000 US-Dollar, um den Gewinn zu maximieren.

FunkSec, seit Ende 2024 aktiv, hat bereits gezielt den Regierungs-, Technologie-, Finanz- und Bildungssektor in Europa und Asien angegriffen. Die Ransomware zeichnet sich durch eine hochentwickelte technische Architektur sowie KI-gestützte Entwicklung aus. Sie kombiniert umfassende Verschlüsselung mit aggressiver Datenexfiltration in einer einzigen, Rust-basierten ausführbaren Datei. Diese kann mehr als 50 Prozesse auf den betroffenen Systemen deaktivieren und enthält Selbstbereinigungsfunktionen, um Sicherheitsmaßnahmen zu umgehen. Zusätzlich zur Kernfunktionalität wurde FunkSec um einen Passwortgenerator und ein einfaches DDoS-Tool erweitert, die beide deutliche Hinweise auf die Verwendung von großen Sprachmodellen (LLMs) zur Codesynthese aufweisen.

Besondere Merkmale der Ransomware

Bei ihren Analysen fanden die Experten des Global Research & Analysis Team (GReAT) von Kaspersky einige Besonderheiten bei der Ransomware. Unter anderem:

• Passwortgesteuerte Funktionalität: FunkSec verwendet einen einzigartigen passwortbasierten Mechanismus zur Steuerung seiner Betriebsmodi. Ohne das Passwort beschränkt sich die Malware auf eine einfache Dateiverschlüsselung. Wird jedoch ein Passwort eingegeben, aktiviert die Ransomware neben der Verschlüsselung einen aggressiveren Datenexfiltrationsprozess, um sensible Informationen zu stehlen. FunkSec kombiniert umfassende Verschlüsselung, lokale Datenexfiltration und Selbstbereinigung in einer einzigen, Rust-basierten Binärdatei – ohne die Notwendigkeit eines Sideloader oder Begleitskripts. Diese hohe Konsolidierung macht FunkSec zu einem äußerst flexiblen Plug-and-Play-Tool, das nahezu überall eingesetzt werden kann.
• Einsatz von KI in der Entwicklung: Die Codeanalyse zeigt, dass FunkSec generative künstliche Intelligenz zur Entwicklung seiner Tools nutzt. Viele Codeabschnitte scheinen automatisch generiert worden zu sein, anstatt manuell geschrieben. Hinweise darauf sind generische Platzhalterkommentare wie „Platzhalter für die eigentliche Prüfung“ sowie technische Inkonsistenzen, wie etwa nicht richtig aufeinander abgestimmte Befehle für verschiedene Betriebssysteme. Zudem ist das Vorhandensein deklarierter, jedoch ungenutzter Funktionen – darunter vorab eingebundene, aber nie verwendete Module – ein weiteres Indiz dafür, wie große Sprachmodelle mehrere Codefragmente kombinieren, ohne redundante Elemente zu entfernen.
• Viele Angriffe, niedrige Lösegeldforderungen: Die Gruppe hinter FunkSec fordert ungewöhnlich niedrige Lösegeldzahlungen, oft von nur 10.000 US-Dollar, und kombiniert diese mit dem Verkauf gestohlener Daten zu reduzierten Preisen an Dritte. Diese Strategie scheint darauf abzuzielen, ein hohes Angriffsvolumen zu erzeugen und der Gruppe zu ermöglichen, sich schnell einen Namen in der cyberkriminellen Unterwelt zu machen. Im Gegensatz zu traditionellen Ransomware-Gruppen, die Millionenbeträge fordern, verfolgt FunkSec ein hochfrequentes, kostengünstiges Modell, das den Einsatz von KI zur Rationalisierung und Skalierung ihrer Operationen weiter unterstreicht.
• Gruppe setzt nicht nur auf Ransomware: FunkSec hat seine Fähigkeiten über die Ransomware-Binärdatei hinaus erweitert. Die Dark-Leak-Site (DLS) enthält zusätzliche Tools, darunter einen Python-basierten Passwortgenerator für Brute-Force- und Password-Spraying-Angriffe sowie ein einfaches DDoS-Tool.
• Fortgeschrittene Umgehungstechniken: FunkSec nutzt fortschrittliche Umgehungstechniken, um einer Erkennung zu entgehen und forensische Analysen zu erschweren. Die Ransomware kann über 50 Prozesse und Dienste stoppen, um eine vollständige Verschlüsselung der Zieldateien zu gewährleisten. Darüber hinaus verfügt sie über einen Fallback-Mechanismus, der bestimmte Befehle auch dann ausführt, wenn der Benutzer, der FunkSec startet, nicht über ausreichende Berechtigungen verfügt.

„Wir beobachten immer häufiger, wie Cyberkriminelle Künstliche Intelligenz nutzen, um Malware zu entwickeln“, so Marc Rivero, leitender Sicherheitsforscher bei Kaspersky GReAT. „Generative KI senkt die Hürden und beschleunigt die Malware-Erstellung. Indem KI die Einstiegshürde senkt, ermöglicht sie selbst weniger erfahrenen Angreifern die schnelle Entwicklung hochentwickelter Malware in großem Maßstab. Zudem erhalten Cyberkriminelle mit KI die Möglichkeit, ihre Taktiken schneller anzupassen.“

Kaspersky-Empfehlungen zum Schutz vor Ransomware

• Die Software auf allen genutzten Geräten stets auf dem neuesten Stand halten, um Angreifern keine Möglichkeit zu geben, Schwachstellen auszunutzen und in das Netzwerk einzudringen.
• Die Verteidigungsstrategie auf die Erkennung von seitlichen Bewegungen und Datenexfiltration ins Internet fokussieren. Besonderes Augenmerk auf ausgehenden Datenverkehr legen, um Verbindungen der Cyberkriminellen zum eigenen Netzwerk zu erkennen. Offline-Backups einrichten, die von Eindringlingen nicht manipuliert werden können, und sicherstellen, dass diese im Notfall schnell zugänglich sind.
• Ransomware-Schutz für alle Endgeräte aktivieren. Beispielsweise schützt Kaspersky Anti-Ransomware Tool for Business [1] Computer und Server vor Ransomware und anderen Arten von Malware, verhindert Exploits und ist mit bereits installierten Sicherheitslösungen kompatibel.
• Anti-APT- und EDR-Lösungen wie Kaspersky Expert Security [2] installieren, die fortschrittliche Funktionen zur Bedrohungserkennung, Untersuchung und rechtzeitigen Behebung von Vorfällen bieten.
• Dem SOC-Team Zugang zu den neuesten Bedrohungsinformationen [3] gewähren und es regelmäßig mit professionellen Schulungen weiterbilden.
• Robuste Lösungen, beispielsweise aus der Kaspersky-Next-Produktreihe [4] verwenden, die Echtzeitschutz, Bedrohungs-Transparenz, Untersuchungs- und Reaktionsmöglichkeiten von EDR und XDR für Unternehmen jeder Größe und Branche bieten. Je nach aktuellen Bedürfnissen und verfügbaren Ressourcen kann das relevanteste Produktpaket gewählt und bei Änderungen der Cybersicherheitsanforderungen problemlos auf ein anderes migriert werden.

Die Produkte von Kaspersky erkennen FunkSec als HEUR:Trojan-Ransom.Win64.Generic.

[1] https://www.kaspersky.com/anti-ransomware-tool

[2] https://go.kaspersky.com/expert-de

[3] https://www.kaspersky.de/enterprise-security/threat-intelligence

[4] https://www.kaspersky.de/next

Nützliche Links:

• Kaspersky Next: https://www.kaspersky.de/next
• Kaspersky Anti-Ransomware Tool: https://www.kaspersky.com/anti-ransomware-tool