Así es FunkSec, la evolución del ransomware que usa IA para sus ciberataques

Así es FunkSec, la evolución del ransomware que usa IA para sus ciberataques

Durante el evento Kaspersky Horizons celebrado en Madrid, los expertos del equipo Global de Investigación y Análisis, GReAT, de la compañía desvelaron el funcionamiento interno de FunkSec.

Se trata de un grupo de ransomware que representa el futuro del cibercrimen a gran escala: impulsado por inteligencia artificial (IA), multifuncional, altamente adaptable y orientado al volumen, con rescates que en algunos casos no superan los 10.000 dólares, una estrategia pensada para maximizar beneficios. 

El equipo GReAT de Kaspersky monitoriza de forma continua el panorama de ciberamenazas relacionadas con el ransomware, donde los ataques siguen aumentando. Según el último Estado del Ransomware 2025 elaborado por la empresa, el porcentaje de usuarios afectados por este tipo de ataques a nivel mundial subió hasta el 0,44 % entre 2023 y 2024, lo que supone un incremento global de apenas 0,02 puntos porcentuales y un 0,06 concretamente en Europa. Aunque esta cifra pueda parecer baja comparada con otras ciberamenazas, refleja que los ciberdelincuentes suelen centrarse en objetivos de alto valor en lugar de una distribución masiva, lo que convierte cada ataque en un incidente potencialmente devastador. Dentro de este panorama cambiante, FunkSec ha surgido como una amenaza especialmente preocupante.

FunkSec está activo desde finales de 2024, logrando superar rápidamente a actores más consolidados, dirigiéndose a sectores clave como el gubernamental, tecnológico, financiero y educativo en Europa y Asia. Lo que distingue a FunkSec es su sofisticada arquitectura técnica y el uso de IA para desarrollar sus herramientas. El grupo ha integrado un cifrado a gran escala y una exfiltración agresiva de datos en un único ejecutable basado en lenguaje Rust, capaz de desactivar más de 50 procesos en los equipos infectados, e incluye funciones de autolimpieza para evitar ser detectado. Además del ransomware en sí, FunkSec ha ampliado su arsenal con un generador de contraseñas y una herramienta básica de DDoS, ambos con indicios claros de haber sido creados mediante modelos de lenguaje generativos (LLMs).

La estrategia de FunkSec refleja la transformación del cibercrimen masivo, al combinar herramientas y tácticas avanzadas. Los expertos de GReAT destacan los principales elementos que definen su modo de operar:

Funcionalidad controlada por contraseña

El ransomware de FunkSec incorpora un mecanismo único basado en contraseñas que determina cómo se comporta el malware. Si no se introduce ninguna contraseña, solo cifra archivos de forma básica. Sin embargo, al introducir una contraseña válida, se activa un modo más agresivo que además del cifrado lleva a cabo la exfiltración de datos sensibles.

FunkSec combina cifrado completo, exfiltración local y autolimpieza en un único archivo ejecutable en lenguaje Rust, sin necesidad de cargadores auxiliares ni scripts complementarios. Este nivel de integración es poco común y proporciona a sus afiliados una herramienta lista para usar, fácil de desplegar en distintos entornos.

Uso de IA en el desarrollo

El análisis del código revela que FunkSec emplea IA generativa para crear sus herramientas. Muchas partes del código parecen haber sido generadas automáticamente en lugar de programadas manualmente. Algunos indicios de esto son los comentarios genéricos como “placeholder for actual check” y ciertas inconsistencias técnicas, por ejemplo, comandos dirigidos a distintos sistemas operativos que no encajan entre sí. También se han detectado funciones declaradas, pero nunca utilizadas, como módulos incluidos desde el inicio pero que no se llegan a ejecutar, lo cual refleja cómo los LLMs pueden combinar fragmentos de código sin eliminar elementos redundantes.

Cada vez vemos más ciberdelincuentes que aprovechan la IA para desarrollar herramientas maliciosas. La IA generativa reduce las barreras de entrada y acelera la creación de malware, lo que permite a los ciberdelincuentes adaptar sus tácticas con rapidez. Al facilitar el acceso, incluso atacantes con poca experiencia pueden desarrollar malware sofisticado a gran escala”, afirma Marc Rivero, Lead Security Researcher at Kaspersky’s GReAT.

Estrategia de bajo rescate y alto volumen

FunkSec exige rescates sorprendentemente bajos, en algunos casos de apenas 10.000 dólares, y además complementa esto con la venta de datos robados a terceros a precios reducidos. Esta táctica parece diseñada para facilitar un gran volumen de ciberataques y así afianzar su reputación rápidamente en los círculos delictivos. A diferencia de los grupos de ransomware tradicionales que buscan rescates millonarios, FunkSec apuesta por un modelo de alta frecuencia y bajo coste, donde el uso de la IA resulta clave para automatizar y escalar sus operaciones.

Más allá del ransomware

El grupo ha ido más allá del archivo principal de ransomware y ha ampliado sus capacidades. En su sitio de filtraciones en la dark web (DLS), ofrecen herramientas adicionales, como un generador de contraseñas en Python para realizar ciberataques de fuerza bruta o password spraying, y también una herramienta básica de DDoS.

Técnicas avanzadas de evasión

FunkSec utiliza métodos sofisticados para evitar ser detectado y dificultar el análisis forense. El ransomware es capaz de detener más de 50 procesos y servicios con el fin de asegurar un cifrado completo de los archivos en su punto de mira. También incluye un mecanismo de respaldo que permite ejecutar ciertos comandos, incluso cuando el usuario que activa el ciberataque no tiene privilegios suficientes.

Los productos de Kaspersky detectan esta amenaza bajo la firma HEUR:Trojan-Ransom.Win64.Generic.

Para reducir el riesgo de sufrir un ataque, los expertos de Kaspersky recomiendan seguir estas buenas prácticas:

•    Activa la protección frente a ransomware en todos los dispositivos. Kaspersky ofrece de forma gratuita la herramienta Anti-Ransomware Tool for Business, que protege ordenadores y servidores frente al ransomware y otros tipos de malware, previene la explotación de vulnerabilidades y es compatible con otras soluciones de seguridad que ya tengas instaladas.

•    Mantén siempre actualizado el software en todos tus dispositivos para evitar que los atacantes aprovechen vulnerabilidades conocidas.

•    Enfoca tu estrategia de defensa en detectar movimientos laterales y exfiltración de datos a Internet. Presta especial atención al tráfico saliente para identificar conexiones sospechosas con tu red. Asegúrate de tener copias de seguridad desconectadas, inaccesibles para intrusos, y comprueba que puedes restaurarlas rápidamente en caso de emergencia.

•    Instala soluciones anti-APT y EDR que te permitan detectar amenazas avanzadas, investigar incidentes y responder a tiempo. Además, proporciona a tu equipo de seguridad acceso a inteligencia de amenazas actualizada y formación continua. Todo esto está incluido dentro del marco de seguridad Kaspersky Expert Security.

•    Utiliza información actualizada sobre Threat Intelligence para conocer las Tácticas, Técnicas y Procedimientos (TTP) que emplean los actores de amenazas.

Para una protección completa frente a distintos tipos de ciberamenazas, Kaspersky recomienda las soluciones de su línea Kaspersky Next que ofrecen protección en tiempo real, visibilidad de amenazas y funciones de investigación y respuesta (EDR y XDR) para organizaciones de cualquier tamaño o sector. En función de tus necesidades y recursos, puedes elegir el nivel de producto más adecuado y migrar fácilmente a otro si tus requisitos cambian.