{"id":29473,"date":"2025-07-10T05:41:00","date_gmt":"2025-07-10T03:41:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=29473"},"modified":"2025-07-10T14:08:41","modified_gmt":"2025-07-10T12:08:41","slug":"funksec-kaspersky-analysiert-ki-gestuetzte-ransomware-mit-passwortgesteuerten-funktionen","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=29473","title":{"rendered":"FunkSec: Kaspersky analysiert KI-gest\u00fctzte Ransomware mit passwortgesteuerten Funktionen"},"content":{"rendered":"\n

Auf der Kaspersky-Konferenz Horizons stellte das Unternehmen neue Erkenntnisse zur Ransomware-Gruppe FunkSec vor, die seit Ende 2024 aktiv ist. Die Schadsoftware steht exemplarisch f\u00fcr eine neue Generation KI-unterst\u00fctzter Cyberangriffe: automatisiert, adaptiv und volumenbasiert. FunkSec greift gezielt Regierungs-, Finanz-, Technologie- und Bildungseinrichtungen in Europa und Asien an und kombiniert starke Verschl\u00fcsselung, Datenexfiltration und Selbstbereinigung in einer einzigen ausf\u00fchrbaren Datei. Auff\u00e4llig ist der passwortgesteuerte Mechanismus, der verschiedene Betriebsmodi freischaltet: Ohne Passwort erfolgt reine Verschl\u00fcsselung, mit Passwort zus\u00e4tzlich eine aggressive Exfiltration sensibler Daten. Die Malware kann \u00fcber 50 Prozesse deaktivieren und verf\u00fcgt \u00fcber Fallback-Funktionen zur Umgehung von Rechtepr\u00fcfungen.<\/p>\n\n\n\n

\"\"
Kaspersky Funksec Ank\u00fcndigung auf dem Horizons Event – Quelle: Kaspersky<\/figcaption><\/figure>\n\n\n\n

Kaspersky stellt bei der Codeanalyse klare Hinweise auf den Einsatz generativer KI fest: Platzhalterkommentare, inkonsistente Systemaufrufe, ungenutzte Module \u2013 typische Merkmale von durch LLMs erzeugtem Code. Die Angriffe zeichnen sich durch vergleichsweise niedrige L\u00f6segeldforderungen ab ca. 10.000 US-Dollar aus, kombiniert mit dem Weiterverkauf gestohlener Daten. Die Gruppe erweitert ihr Arsenal zudem um einen Python-basierten Passwortgenerator und ein einfaches DDoS-Tool, die \u00fcber ihre Dark-Leak-Site verf\u00fcgbar sind. FunkSec verfolgt damit ein \u201eLow Cost, High Volume\u201c-Modell, das KI nutzt, um Entwicklungsaufwand zu minimieren und Angriffsfrequenz zu maximieren. F\u00fcr Sicherheitsverantwortliche entsteht daraus eine neue Bedrohungsklasse mit hoher Skalierbarkeit und sinkender Eintrittsschwelle f\u00fcr Angreifer.<\/p>\n\n\n\n

Kaspersky empfiehlt umfassende Schutzma\u00dfnahmen: regelm\u00e4\u00dfige Updates, Fokus auf Exfiltrationserkennung, Offline-Backups, den Einsatz von Anti-Ransomware-Tools und EDR\/XDR-L\u00f6sungen wie Kaspersky Expert Security. Zus\u00e4tzlich sollten SOC-Teams mit aktuellen Threat-Intelligence-Daten und Schulungen ausgestattet werden. Die Malware wird von Kaspersky unter der Kennung HEUR:Trojan-Ransom.Win64.Generic erkannt.<\/p>\n\n\n\n

Die Produkte von Kaspersky erkennen FunkSec als HEUR:Trojan-Ransom.Win64.Generic.
 <\/p>\n\n\n\n

[1] https:\/\/www.kaspersky.com\/anti-ransomware-tool<\/a>
[2] https:\/\/go.kaspersky.com\/expert-de<\/a>
[3] https:\/\/www.kaspersky.de\/enterprise-security\/threat-intelligence<\/a>
[4] https:\/\/www.kaspersky.de\/next<\/a>
 <\/p>\n\n\n\n

N\u00fctzliche Links:<\/strong><\/p>\n\n\n\n