KI-Ransomware FunkSec: Masse schlägt Klasse – AI ransomware FunkSec: Quantity beats quality

FunkSec ist seit Ende 2024 aktiv und richtet sich bevorzugt gegen Organisationen aus dem Regierungs-, Finanz-, Bildungs- und Technologiesektor. Die Malware ist in Rust programmiert und vereint Verschlüsselung, Datenexfiltration und Selbstbereinigung in einer einzigen Binärdatei. Über 50 Prozesse können deaktiviert werden, um Sicherheitslösungen zu umgehen. Die Angriffe erfolgen automatisiert, effizient und mit einem klaren Fokus auf Volumen.

Passwortbasierter Steuermechanismus

Ein besonderes technisches Merkmal ist ein passwortbasierter Steuermechanismus. Wird kein Passwort eingegeben, verschlüsselt die Ransomware lediglich Dateien. Mit Passwort aktiviert sie zusätzlich eine aggressive Datenexfiltration. Die vollständige Funktionalität liegt konsolidiert vor, es sind keine Begleitskripte oder externen Module nötig. Dies macht FunkSec zu einem flexiblen, portablen Tool mit hohem Missbrauchspotenzial.

Die Codeanalyse durch das Kaspersky Global Research & Analysis Team zeigt deutliche Spuren generativer KI. Kommentare wie „Platzhalter für die eigentliche Prüfung“, nicht verwendete Module und unvollständig abgestimmte Betriebssystembefehle deuten darauf hin, dass Teile des Codes mithilfe großer Sprachmodelle automatisch erzeugt wurden. Die Malware wirkt technisch modular, aber stellenweise unsauber kombiniert – typisch für KI-basierte Codierung.

Ökonomische Strategie

Auffällig ist auch die ökonomische Strategie der Gruppe: Statt hoher Lösegeldforderungen wie bei herkömmlichen Ransomware-Kampagnen fordert FunkSec meist nur rund 10.000 US-Dollar. Die Angreifer verkaufen darüber hinaus gestohlene Daten zu reduzierten Preisen weiter. Dieses Geschäftsmodell setzt auf Quantität und schnelle Monetarisierung, unterstützt durch automatisierte Abläufe und den Einsatz Künstlicher Intelligenz.

FunkSec beschränkt sich nicht auf Verschlüsselung. Die Gruppe betreibt eine Leak-Seite im Darknet, auf der sie zusätzliche Werkzeuge bereitstellt. Dazu zählen ein Python-basierter Passwortgenerator für Brute-Force- und Password-Spraying-Angriffe sowie ein einfaches DDoS-Tool. Diese Erweiterungen unterstreichen den industriellen Charakter der Gruppe.

Technisch besonders ausgefeilt ist der Umgang mit Sicherheitssystemen. Die Malware erkennt und beendet gezielt Prozesse und Dienste, die einer Verschlüsselung im Weg stehen. Selbst ohne Administratorrechte kann sie durch Fallback-Routinen zentrale Funktionen ausführen. Das erschwert nicht nur die Abwehr, sondern auch die forensische Aufarbeitung.

„Wir beobachten eine klare Zunahme des KI-Einsatzes bei der Malware-Entwicklung“, sagt Marc Rivero, leitender Sicherheitsforscher bei Kaspersky. „Generative KI senkt die technischen Hürden und erlaubt es auch weniger erfahrenen Angreifern, Schadsoftware mit professioneller Wirkung zu erstellen. Die Geschwindigkeit, mit der sich solche Bedrohungen entwickeln, nimmt deutlich zu.“

Schutzstrategie

Zum Schutz empfiehlt Kaspersky unter anderem regelmäßige Software-Updates, Offline-Backups sowie EDR- und Anti-Ransomware-Lösungen, wie sie in der Kaspersky-Next-Produktlinie enthalten sind. Unternehmen sollten ihre Verteidigung auf die Erkennung von Datenabfluss und seitlichen Bewegungen im Netzwerk ausrichten und IT-Sicherheitsteams durch Schulungen und aktuelle Bedrohungsinformationen kontinuierlich stärken.

FunkSec steht exemplarisch für eine neue Generation von Ransomware. Nicht die Komplexität, sondern die Automatisierung, Geschwindigkeit und Skalierbarkeit machen diese Bedrohung so gefährlich. Die Kombination aus KI, modularer Technik und ökonomisch aggressiver Taktik signalisiert eine strategische Verschiebung – hin zur industriellen Cyberkriminalität.

FunkSec has been active since the end of 2024 and primarily targets organizations in the government, finance, education, and technology sectors. The malware is programmed in Rust and combines encryption, data exfiltration, and self-cleaning in a single binary file. Over 50 processes can be disabled to bypass security solutions. The attacks are automated, efficient, and clearly focused on volume.

Password-based control mechanism

A special technical feature is a password-based control mechanism. If no password is entered, the ransomware only encrypts files. With a password, it additionally activates aggressive data exfiltration. Full functionality is consolidated, with no accompanying scripts or external modules required. This makes FunkSec a flexible, portable tool with high potential for abuse.

Code analysis by the Kaspersky Global Research & Analysis Team shows clear traces of generative AI. Comments such as “placeholder for the actual check,” unused modules, and incompletely coordinated operating system commands indicate that parts of the code were automatically generated using large language models. The malware appears to be technically modular, but in places it is poorly combined – typical of AI-based coding.

Economic strategy

The group’s economic strategy is also striking: instead of demanding high ransoms as in conventional ransomware campaigns, FunkSec usually only demands around $10,000. The attackers also resell stolen data at reduced prices. This business model focuses on quantity and rapid monetization, supported by automated processes and the use of artificial intelligence.

FunkSec does not limit itself to encryption. The group operates a leak site on the darknet where it provides additional tools. These include a Python-based password generator for brute force and password spraying attacks, as well as a simple DDoS tool. These extensions underscore the industrial nature of the group.

Its handling of security systems is particularly sophisticated from a technical standpoint. The malware detects and terminates processes and services that stand in the way of encryption. Even without administrator rights, it can execute central functions through fallback routines. This not only makes defense more difficult, but also forensic analysis.

“We are seeing a clear increase in the use of AI in malware development,” says Marc Rivero, senior security researcher at Kaspersky. “Generative AI lowers the technical barriers and allows even less experienced attackers to create malware with professional results. The speed at which such threats are developing is increasing significantly.”

Protection strategy

To protect against this, Kaspersky recommends regular software updates, offline backups, and EDR and anti-ransomware solutions, such as those included in the Kaspersky Next product line. Companies should focus their defenses on detecting data leaks and lateral movements in the network and continuously strengthen IT security teams through training and up-to-date threat information.

FunkSec is representative of a new generation of ransomware. It is not complexity, but automation, speed, and scalability that make this threat so dangerous. The combination of AI, modular technology, and economically aggressive tactics signals a strategic shift toward industrial cybercrime.