Los expertos en ciberseguridad han publicado un descifrador de stock de ransomware llamado FunkSec para permitir a las víctimas recuperar el acceso a sus archivos de forma gratuita.
«El ransomware ahora se considera muerto, por lo que lanzamos un descifrador para su publicación», dijo el investigador digital Gen Ladislav Zezula.
Según los datos de Ransomware.Live, FunkSec, que surgió hacia fines de 2024, reclama 172 bajas. La mayoría de las entidades objetivo se encuentran en los Estados Unidos, India y Brasil, y son los tres principales sectores donde la tecnología, el gobierno y la educación han sido atacados por grupos.
Un análisis de punto de control por verificación a principios de enero de este año encontró que los criptores se desarrollaron con el apoyo de las herramientas de inteligencia artificial (IA). El grupo no ha agregado nuevas víctimas al sitio de fuga de datos desde el 18 de marzo de 2025, lo que sugiere que el grupo ya no está activo.
También se cree que el grupo consistió en piratas informáticos inexpertos que buscaban visibilidad y reconocimiento al cargar conjuntos de datos filtrados relacionados con campañas de hackitivismo anteriores.
FunkSec se construyó usando Rust, un lenguaje de programación rápido y eficiente popular entre los nuevos grupos de ransomware. Otras familias como los gatos negros y la agenda también usan óxido para ejecutar rápidamente ataques y evitar la detección. FunkSec se basa en la biblioteca Orion-RS (versión 0.17.7) para que el cifrado utilice los algoritmos Chacha20 y Poly1305 para bloquear archivos durante las rutinas.
«Este método basado en hash garantiza la integridad de la clave de cifrado, N-O-O-Once, la longitud del bloque y los parámetros de cifrado de los datos cifrados en sí», dijo Zezula. «El archivo está encriptado cada bloque de 128 bytes, agregando 48 bytes de metadatos adicionales a cada bloque, lo que significa que el archivo cifrado es aproximadamente un 37% más grande que el original».
Gen Digital no reveló cómo se podrían desarrollar descifradores o si implicaría la explotación de las debilidades de cifrado que podrían revertir el proceso de cifrado. Se puede acceder al Decrytor a través del proyecto No More Ransom.
Las víctimas que consideran la recuperación de datos deben garantizar primero que los archivos encriptados coincidan con la firma FunkSec. No más Ransom Portal proporciona instrucciones de uso básicas, pero los administradores recomiendan que haga una copia de seguridad de los archivos afectados antes de intentar descifrar en caso de recuperación parcial o corrupción de archivos.
Source link
