Thought Leadership
Auf der Kaspersky Horizons 2025 in Madrid wird erstmals die hochentwickelte Ransomware-Gruppe FunkSec vorgestellt. Diese neue Cyberbedrohung nutzt Künstliche Intelligenz, um Angriffe in großem Stil durchzuführen – und revolutioniert damit das Geschäftsmodell von Cyberkriminellen.
FunkSec: KI-getriebene Ransomware mit Mehrfachfunktion
Im Rahmen der europäischen Sicherheitskonferenz Kaspersky Horizons (30. Juni bis 2. Juli 2025) präsentierte Kaspersky neueste Forschungsergebnisse zur FunkSec-Ransomware. Die seit Ende 2024 aktive Gruppe operiert in Europa und Asien, zielt auf Regierungs-, Technologie-, Finanz- und Bildungssektoren und demonstriert eindrucksvoll, wie die Zukunft der Cyberkriminalität aussieht: KI-gestützt, vielseitig und auf hohe Stückzahlen ausgelegt. Die Lösegeldforderungen sind vergleichsweise niedrig und starten bereits bei 10.000 US-Dollar – eine Taktik, die den Profit durch eine große Anzahl von Angriffen maximiert.
Technische Innovationen hinter FunkSec
Die Ransomware basiert auf einer einzigen Rust-exe, die nicht nur umfassende Verschlüsselung bietet, sondern auch aggressive Datenexfiltration integriert. FunkSec kann mehr als 50 Systemprozesse lahmlegen und besitzt Funktionen zur Selbstbereinigung, um Sicherheitsmaßnahmen zu umgehen. Ein besonderes Merkmal ist der passwortgesteuerte Betriebsmodus: Ohne Passwort beschränkt sich die Malware auf Verschlüsselung; mit Passwort aktiviert sie zusätzlich einen intensiven Diebstahl sensibler Daten.
Darüber hinaus erweitert die Ransomware-Gruppe ihr Arsenal mit einem Passwortgenerator für Brute-Force-Angriffe sowie einem einfachen DDoS-Tool – beide Hinweise auf die Verwendung großer Sprachmodelle (LLMs) in der automatisierten Codeentwicklung.
KI als Motor für die Malware-Entwicklung
Kaspersky-Experten entdeckten bei der Codeanalyse deutliche Spuren generativer KI: Automatisch generierte Codeabschnitte, Platzhalterkommentare und nicht harmonierende Befehle für verschiedene Betriebssysteme zeigen, dass Teile der Ransomware automatisch zusammengesetzt wurden. „Generative KI senkt die Hürden und beschleunigt die Malware-Erstellung“, erklärt Marc Rivero, leitender Sicherheitsforscher bei Kaspersky GReAT. Dadurch könne auch weniger erfahrenen Cyberkriminellen ermöglicht werden, schnell und in großem Umfang hochentwickelte Malware zu erstellen und ihre Taktiken flexibel anzupassen.
Neues Geschäftsmodell: Masse statt Einzelhöchstbeträge
FunkSec verfolgt ein neues Modell im Ransomware-Business: Anstatt wie klassische Gruppen Millionenbeträge zu fordern, setzt FunkSec auf viele Angriffe mit vergleichsweise niedrigen Lösegeldforderungen. Die gestohlenen Daten werden zudem günstig an Dritte verkauft. Das Ergebnis: Ein skalierbarer, volumenorientierter Ansatz, der von KI-Unterstützung profitiert.
Empfehlungen zum Schutz vor FunkSec
Kaspersky rät dringend dazu, alle Systeme stets aktuell zu halten und besonders auf die Überwachung des ausgehenden Datenverkehrs zu achten, um Datenexfiltration frühzeitig zu erkennen. Offline-Backups, die von Angreifern nicht manipuliert werden können, sind essenziell. Zudem empfiehlt Kaspersky den Einsatz spezialisierter Anti-Ransomware-Lösungen und fortschrittlicher EDR-Systeme (Endpoint Detection and Response), die umfassenden Schutz und schnelle Reaktion ermöglichen.
FunkSec wird von Kaspersky unter der Signatur HEUR:Trojan-Ransom.Win64.Generic erkannt.
(vp/Kaspersky)
