Depuis fin 2024, FunkSec a mené plusieurs attaques en Europe et en Asie avec un ransomware automatisé par IA et redoutable pour frapper vite, viser large, et réclamer moins de 10 000 dollars à chaque victime.

- FunkSec utilise un ransomware automatisé par IA, ciblant ministères et entreprises en Europe et Asie, demandant 10 000 $.
- Le ransomware, en un exécutable Rust, facilite l'attaque pour novices, intégrant chiffrement et vol de données.
- Kaspersky note une hausse des attaques ciblées, avec FunkSec contournant les défenses et effaçant ses traces efficacement.
Souvenez-vous, nous vous en parlions sur Clubic. Nous n'étions pas encore rendus à la Saint-Sylvestre de l'an dernier qu'un nouveau nom a commencé à circuler parmi les experts en cybersécurité : FunkSec. Ce groupe multiplie les attaques contre des ministères, des entreprises de la tech, des banques et des établissements d’enseignement, en Europe et en Asie. Ses demandes tournent autour de 10 000 dollars. L’outil qu’il utilise tient dans un seul exécutable Rust, et contient tout le nécessaire : chiffrement, vol de données, effacement de traces. Une partie du code montre des signes clairs d’automatisation par IA. C’est précisément ce qui intrigue les analystes. Le ransomware semble conçu pour des attaquants sans grande expérience, capables de lancer une campagne avec très peu de moyens.
L’IA réduit les barrières techniques pour produire des outils malveillants efficaces
Le code de FunkSec contient plusieurs éléments caractéristiques de l’IA générative : fonctions jamais utilisées, commentaires standards comme « placeholder for actual check », et confusions dans les commandes selon les systèmes. Ce genre de traces apparaît souvent lorsque le code a été généré à partir de modèles comme ChatGPT ou Claude. Le groupe propose aussi un générateur de mots de passe en Python et un outil DDoS très simple, mis à disposition sur son site de fuite dans le dark web.
Le chercheur Marc Rivero, chez Kaspersky, résume l’enjeu : « L’IA générative abaisse les barrières et accélère la création de logiciels malveillants. » Avec ce type d’outils, une personne peu expérimentée peut produire un ransomware et le lancer en quelques heures. FunkSec donne un exemple concret de cette logique. L’ensemble de ses capacités tient dans un seul fichier exécutable, qui se lance automatiquement selon les droits disponibles. Même sans mot de passe, un chiffrement partiel s’active. Si l’attaquant entre le mot de passe prévu, alors une exfiltration de données sensibles se déclenche en parallèle.
Aucune configuration n’est nécessaire. Le ransomware ne dépend d’aucun module externe. Il n’a besoin ni de scripts d’accompagnement, ni de droits d’administration. Ce type d’intégration facilite considérablement le déploiement, notamment pour ceux qui ne maîtrisent pas les outils traditionnels.
FunkSec multiplie les attaques à faible rançon pour frapper vite et étendre son influence
Le groupe cible de nombreuses structures, avec des demandes peu élevées. Les données volées sont revendues à bas prix, souvent à d’autres acteurs. Ce modèle à répétition lui permet d’augmenter son activité tout en évitant les montants trop visibles. Résultat, sa présence s’est rapidement étendue à plusieurs secteurs : administrations, universités, finance, entreprises technologiques.
Le fichier exécutable contient des fonctions pensées pour contourner les défenses habituelles. Il peut interrompre plus de cinquante services sur une machine, effacer ses propres traces après usage, et fonctionne même sans droits d’administrateur. Ces caractéristiques renforcent son efficacité et limitent les possibilités d’analyse.
Kaspersky classe ce ransomware sous le nom HEUR\:Trojan-Ransom.Win64.Generic. Dans ses dernières données, l’éditeur indique que la part d’utilisateurs ciblés par des ransomwares est passée à 0,44 % à l’échelle mondiale en 2024. C'est peut-être un détail pour vous, mais pour les chercheurs qui ont mené l'étude, ça veut dire « que les attaquants privilégient généralement les cibles de grande valeur plutôt que la distribution de masse, ce qui rend chaque incident potentiellement dévastateur ».
Source : Kaspersky