In uno scenario sempre più complesso, dove ideologia e crimine si intrecciano, Rapid7 ha pubblicato un’analisi approfondita sull’evoluzione di alcuni gruppi hacktivisti verso modelli operativi orientati al profitto. La ricerca si concentra su tre attori emergenti: FunkSec, KillSec e GhostSec, evidenziando come il confine tra attivismo politico e attività criminali strutturate si stia dissolvendo.
Dal dissenso politico all’estorsione
Nati come gruppi motivati da cause ideologiche – spesso legati a campagne pro-Palestina o ad attività anti-occidentali – molti attori hanno adottato modelli Ransomware-as-a-Service (RaaS), incorporando tecniche di estorsione finanziaria che includono:
- Doppia estorsione: cifratura e successiva minaccia di pubblicazione dei dati.
- Malware personalizzato sviluppato anche tramite strumenti AI generativi.
- Servizi per affiliati: dashboard, builder, locker e gestione dei pagamenti.
Focus tecnico: i gruppi in evoluzione
FunkSec
Nato come collettivo pro-“Free Palestine”, FunkSec è oggi un gruppo RaaS attivo dal dicembre 2024 con almeno 172 vittime globali, inclusi target in Italia, Francia e Israele. Utilizza il FunkLocker, un encryptor AI-powered, e offre servizi di defacement e DDoS nel dark web.
IoC associati:
funksec53xh7j5t6ysgwnaidj5vkh3aqajanplix533kwxdz3qrwugid[.]onion- SHA-256:
0538d726ae3cc264...
KillSec
Attivo dal 2021 e inizialmente affiliato ad Anonymous, ha virato su un’offerta RaaS nel 2023 con locker per ambienti Windows ed ESXi. La loro DLS (dedicated leak site) offre non solo leak, ma anche dati in vendita tra i 5.000 e i 350.000 dollari.
Tecniche osservate:
- Locker scritto in C++
- Costruzione payload tramite builder personalizzato
- TOX e Session ID documentati nei loro canali Telegram
GhostSec
Conosciuto per #OpISIS e altri attacchi ideologici, ha collaborato nel 2023 con Stormous per azioni ransomware contro enti governativi a Cuba. Ha sviluppato GhostLocker (poi GhostLocker 2.0 “Rewrite”) e un infostealer chiamato GhostStealer.
Nel 2024, ha annunciato il ritorno all’hacktivismo, lasciando a Stormous la gestione del proprio locker.
Indicatori di Compromissione (IoC) selezionati
| Gruppo | IoC rilevanti |
|---|---|
| FunkSec | http://funksec[.]top, funksecsekgasgjqlz...onion |
| KillSec | http://ks5424y3wpr5zlu...onion, TOX: 9453686EAB..., IP: 82[.]147[.]84[.]98 |
| GhostSec | SHA256: 8b758ccdfbfa5ff3a..., Telegram: GhostSecS |
Italia: Target sempre più frequente
L’Italia è direttamente coinvolta: FunkSec e KillSec figurano tra gli attori che colpiscono il nostro Paese con attacchi ransomware e campagne DDoS. In particolare:
- Settori colpiti: governo, istruzione, manifattura, energia
- Finalità: da atti di protesta simbolica si è passati a richieste di riscatto in criptovaluta
- Modalità: operazioni spesso annunciate in anticipo su Telegram o dark web, con finalità di propaganda e intimidazione.
Difesa e rilevamento
Rapid7 indica anche raccomandazioni operative per i team Blue e CTI:
- Monitoraggio attivo delle DLS conosciute
- Integrazione di questi IoC nei SIEM
- Threat hunting su canali Telegram e dark web
L’analisi Rapid7 dimostra come le motivazioni economiche stiano diventando il driver principale anche per attori nati come ideologici. L’adozione del modello RaaS da parte di questi gruppi rappresenta un’evoluzione significativa del panorama delle minacce, e pone nuove sfide in termini di attribuzione, risposta e protezione.
