Kaspersky onderzoek: de werking van AI-gedreven ransomewaregroep FunkSec

Utrecht, 1 juli 2025 – Onderzoekers van het Global Research and Analysis Team (GReAT) van Kaspersky leggen de rol van AI binnen ransomeware groep FunkSec bloot, en zo van de massale cybercriminaliteit van vandaag. FunkSec is AI-aangedreven en opereert op grote schaal, met vele aanvallen tot gevolg. Niet alleen de inzet van AI vormt een gigantisch risico, ook de manier waarop wachtwoordgestuurde aanvallen kunnen plaatsvinden, de door AI-geschreven code en geavanceerde strategieën om antivirussoftware te omzeilen.

Hoewel FunkSec pas eind 2024 is opgedoken en nog geen jaar actief is, heeft de groep zich razendsnel opgewerkt tot een invloedrijke speler door zich te richten op domeinen als overheid, technologie, financiën en onderwijs in Europa en Azië.

FunkSec onderscheidt zich door zijn geavanceerde technische architectuur en AI-ondersteunde ontwikkeling. De groep verpakt grootschalige versleuteling en agressieve data-exfiltratie in een enkele op Rust gebaseerde executable, die meer dan vijftig processen op de machines van slachtoffers kan uitschakelen en is uitgerust met self- cleanup functies om securitymaatregelen te omzeilen. Naast de kernfunctionaliteit van ransomware heeft FunkSec zijn toolkit uitgebreid met een wachtwoordgenerator en een DDoS-tool, beide met duidelijke tekenen van codesynthese met behulp van grote taalmodellen (LLM’s).

GReAT van Kaspersky houdt het ransomware-dreigingslandschap, waar de aanvallen blijven toenemen, constant in de gaten. Volgens het laatste State of Ransomware-rapport is het aantal gebruikers dat wereldwijd wordt getroffen door ransomware-aanvallen tussen 2023 en 2024 met 0,02% gestegen naar 0,44%. Hoewel dit percentage relatief laag lijkt ten opzichte van andere cyberdreigingen, onderstreept het dat aanvallers hun pijlen vooral richten op hoogwaardige doelwitten in plaats van op grootschalige verspreiding. Elk incident kan hierdoor verwoestende gevolgen hebben. Binnen dit veranderende landschap komt FunkSec naar voren als een bijzonder zorgwekkende bedreiging.

De aanpak van FunkSec schetst het veranderende landschap van massale cybercriminaliteit en combineert geavanceerde tools en tactieken.

Kaspersky’s GReAT-experts belichten de belangrijkste kenmerken van hun activiteiten:
Wachtwoordgestuurde functionaliteit
GReAT-experts ontdekten dat FunkSec-ransomware een uniek wachtwoordgebaseerd mechanisme heeft dat de werkingsmodi controleert. Zonder een wachtwoord voert de malware basisbestandversleuteling uit, terwijl het geven van een wachtwoord een agressiever proces voor het exfiltreren van gegevens activeert naast versleuteling om gevoelige gegevens te stelen.

FunkSec verpakt volledige versleuteling, lokale exfiltratie en self-cleanup in een enkele Rust binary-zonder een side-loader of een begeleidend script. Dat niveau van consolidatie is ongebruikelijk en geeft partners een gebruiksklare tool die ze bijna overal kunnen inzetten.

Gebruik van AI in ontwikkeling
Code-analyse laat zien dat FunkSec actief gebruikmaakt van GenAI om zijn tools te ontwikkelen. Veel delen van de code lijken automatisch gegenereerd in plaats van handmatig geschreven. Kenmerken hiervan zijn algemene placeholdercommentaren (zoals “placeholder voor daadwerkelijke controle”) en technische inconsistenties, zoals commando’s voor verschillende besturingssystemen die niet goed op elkaar aansluiten.

Daarnaast wijst de aanwezigheid van gedeclareerde maar ongebruikte functies, zoals modules die vooraf zijn opgenomen maar nooit zijn gebruikt, erop hoe grote taalmodellen verschillende codefragmenten combineren zonder overbodige elementen te verwijderen.
“We zien steeds vaker dat cybercriminelen AI inzetten om kwaadaardige tools te ontwikkelen. Generatieve AI verlaagt de drempel en versnelt het maken van malware, waardoor cybercriminelen hun tactieken sneller kunnen aanpassen. Dankzij AI kunnen zelfs minder ervaren aanvallers tegenwoordig snel en grootschalig geavanceerde malware maken, omdat de drempel om te beginnen veel lager is geworden.”, zegt Marc Rivero, Lead Security Researcher bij Kaspersky’s GReAT.
Hoog volume, lage losgeldstrategie
FunkSec eist ongewoon lage losgeldbetalingen, soms slechts $10.000, en koppelt dit aan de verkoop van gestolen gegevens tegen gereduceerde prijzen aan derden. Deze aanpak lijkt gericht op het mogelijk maken van een groot aantal aanvallen, waarmee de groep snel een reputatie kan opbouwen binnen de cybercriminele onderwereld. In tegenstelling tot traditionele ransomware-groepen die uit zijn op losgeld van miljoenen dollars, maakt FunkSec gebruik van een hoogfrequent, goedkoop model. Wat nog eens onderstreept hoe het AI inzet om zijn activiteiten te stroomlijnen en op te schalen.

Breidt uit buiten ransomware
FunkSec heeft zijn mogelijkheden uitgebreid tot buiten de ransomware binary. De dark leak site (DLS) bevat aanvullende tools, waaronder een op Python gebaseerde wachtwoordgenerator die brute-force en wachtwoordspraying aanvallen ondersteunt, evenals een DDoS-basistool.

Geavanceerde ontwijking
FunkSec maakt gebruik van geavanceerde ontwijkingstechnieken om detectie te vermijden en forensische analyse te bemoeilijken. De ransomware kan meer dan vijftig processen en services stoppen om een grondige versleuteling van de beoogde bestanden te garanderen. Daarnaast bevat het een terugvalmechanisme om bepaalde opdrachten uit te voeren, zelfs als de gebruiker die FunkSec start niet over voldoende rechten beschikt.
De producten van Kaspersky detecteren deze bedreiging als HEUR:Trojan-Ransom.Win64.Generic.

###
Over Kaspersky   
Kaspersky, opgericht in 1997, is wereldwijd actief op het gebied van cybersecurity en digital privacy En beschermt meer dan een miljard apparaten tegen opkomende cyberdreigingen en gerichte aanvallen. Kaspersky’s threat intelligence en security-expertise worden voortdurend omgezet in innovatieve security-oplossingen en -diensten om bedrijven, kritieke infrastructuren, overheden en consumenten van over de hele wereld te beschermen. Het uitgebreide securityportfolio van het bedrijf omvat toonaangevende endpoint security en gespecialiseerde security-oplossingen en -diensten, evenals Cyber Immune-oplossingen om geavanceerde digitale dreigingen te bestrijden. We helpen miljoenen individuen en meer dan 200.000 zakelijke gebruikers te beschermen wat voor hen het belangrijkst is. Kijk voor meer informatie op www.kaspersky.nl.  

Over het Global Research and Analysis Team
Het Global Research & Analysis Team (GReAT) is opgericht in 2008 en is actief in de kern van Kaspersky. Het brengt APT’s, cyberspionagecampagnes, belangrijke malware, ransomware en ondergrondse cybercriminele trends over de hele wereld aan het licht. Tegenwoordig bestaat GReAT uit meer dan 35 experts die wereldwijd werken – in Europa, Rusland, Latijns-Amerika, Azië en het Midden-Oosten. Getalenteerde beveiligingsprofessionals geven leiding aan het bedrijf op het gebied van anti-malwareonderzoek en innovatie en brengen ongeëvenaarde expertise, passie en nieuwsgierigheid in bij het ontdekken en analyseren van cyberbedreigingen.