从意识形态到经济利益:探索黑客行动主义与网络犯罪的融合
引言
在网络威胁行为者不断演变的格局中,意识形态驱动的黑客行动主义与经济动机的网络犯罪之间的界限日益模糊。最初由政治、社会或伦理原因驱动的黑客行动主义团体,历史上通过网站篡改、数据泄露和分布式拒绝服务(DDoS)攻击进行数字抗议。
然而近年来出现了一个显著趋势:部分黑客行动主义团体正演变为勒索软件运营组织,甚至成为勒索软件附属机构。这种转变源于意识形态疲劳、经济获利机会、先进工具的获取以及基于勒索攻击的日益盈利性。其结果是一种新型混合威胁行为者——将黑客行动主义的破坏热情与网络犯罪的无情效率相结合。
理解这种转变对防御者至关重要,因为它代表了动机的融合,使归因、响应和缓解策略复杂化。为此,我们研究了三个相关威胁行为者的典型案例:FunkSec、KillSec和GhostSec,识别他们转向经济动机活动的驱动因素,并探索其作案手法的变化。
威胁行为者分析
FunkSec
FunkSec勒索软件组织于2024年12月在网络犯罪生态系统中崭露头角。这个勒索软件即服务(RaaS)组织至今已声称攻击了至少172个受害者。该组织自豪地宣称自己是AI驱动的勒索软件组织,其加密器FunkLocker和部分恶意软件源代码据称是使用生成式AI工具创建的。
该组织最初是政治动机的黑客(黑客行动主义)组织,特别针对美国(图1)。该组织以支持"解放巴勒斯坦"运动而闻名(图2),并与其他黑客行动主义组织如Ghost Algeria和Cyb3r Fl00d有关联。其附属成员包括Scorpion(又名DesertStorm,疑似阿尔及利亚黑客)、El_farado、XTN、Blako和Bjorka(据称是印度尼西亚黑客活动分子)。早期,该组织提供通常与黑客行动主义活动相关的工具,包括DDoS和网站篡改服务。
后来,该组织将重点从政治动机攻击转向RaaS模式,向其附属机构提供可定制工具。其受害者类型也从政府实体转变为跨教育、技术、电信和农业等多个行业的组织(图3)。
FunkSec依赖基于AI工具的相对简单的恶意软件开发,也解释了该组织从针对性黑客行动主义活动快速转向更广泛、经济动机活动的原因,在短时间内造成大量受害者(图4)。
该组织的转变也在一个俄语暗网论坛上被提及,作者引用了网络安全供应商关于FunkSec的文章(图5)。
KillSec
KillSec黑客行动主义组织(又名Kill Security)自2021年起活跃。这个与俄罗斯结盟的组织针对来自政府、金融、交通、电子、制造、旅游和娱乐、零售和消费服务等多个行业的组织,位于印度、孟加拉国、罗马尼亚、波兰和巴西等国家。该组织自称是"网络领域中突出的黑客行动主义团体,专注于破坏和数字行动主义"。
KillSec最初是作为与Anonymous集体结盟的黑客行动主义组织出现的,其行动主要包括DDoS攻击和网站篡改,后在2023年10月转向勒索软件运营。KillSec的勒索软件变体KillSecurity 2.0和KillSecurity 3.0旨在加密文件并要求支付赎金以解密。
2024年6月,KillSec推出了RaaS业务,宣传一个用C++编写的Windows环境加密器和一个仪表板,使附属机构能够观察详细统计数据、进行聊天通信并使用构建工具自定义勒索软件配置。2024年11月,该组织为ESXi环境推出了额外的加密器,扩大了业务范围(图6)。
该组织的转变与RaaS计划的整体扩散一致,使技术能力较低的个人能够相对轻松地进行勒索软件攻击以换取费用。该组织一直在宣传其RaaS产品,试图吸引网络犯罪分子并进一步扩大其附属网络(图7)。
尽管在某些事件中,KillSec仅利用窃取的数据勒索受害者,但该组织主要采用双重勒索策略,除了加密数据外还窃取数据,并要求支付赎金以防止数据泄露。该组织运营一个活跃的专用泄露网站(DLS),上传拒绝支付赎金的受害者的数据。该组织还使用其DLS宣传其服务,包括渗透测试、数据收集和RaaS计划(图8)。
值得注意的是,KillSec的DLS还设有"出售"部分,提供据称从目标公司窃取的数据出售,价格从5,000美元到350,000美元不等(图9)。该组织可能引入此部分是为了进一步货币化窃取的数据。这种提供被盗数据和额外服务的行为进一步表明了该组织活动的经济动机性质。
GhostSec
GhostSec黑客行动主义组织(又名Ghost Security、GhostSecMafia和GSM)自2015年起活跃。这个与Anonymous有关联的组织因#OpIsis和#OpParis活动而声名鹊起,在这些活动中,各种黑客行动主义团体通过篡改和DDoS攻击摧毁了数千个ISIS网站和社交媒体账户。此后,GhostSec参与了#OpLebanon、#OpNigeria、#OpMyanmar、#OpEcuador和#OpColombia等活动。该组织还不断对以色列发动网络攻击,以回应所谓的战争罪行,主要是篡改其网站以传播"解放巴勒斯坦"信息。
GhostSec向经济动机行动的转变与该组织与网络犯罪分子的合作重叠。2023年7月,GhostSec宣布他们与Stormous勒索软件组织合作针对古巴的组织(图10)。在此公告之后,Stormous和GhostSec联合声称对古巴三个政府部门进行了勒索攻击,GhostSec还表示未来可能针对其他国家进行联合行动。2023年8月,GhostSec与ThreatSec、Stormous、Blackforums和SiegedSec共同组成了一个统一的集体,称自己为"五大家族"(图11)。这个集体试图勒索古巴总统网站和巴西组织Alfa Comercial。
GhostSec于2023年10月推出其RaaS计划"GhostLocker”,随后不久发布了其信息窃取工具GhostStealer(图12),巩固了其在网络犯罪生态系统中的存在。2024年1月,发布了GhostLocker的更新"REWRITE"(又名GhostLocker 2.0)版本,具有全功能管理面板,允许附属机构跟踪活动和支出。该威胁行为者在其Telegram频道上大力推广其恶意软件即服务(MaaS)工具,展示了其吸引附属机构以最大化利润的意图。
2024年5月15日,GhostSec宣布退出网络犯罪活动并回归黑客行动主义。该组织表示,在获得足够资金支持其黑客行动主义行动后做出了这一决定。GhostSec还提到,Stormous将继续负责GhostLocker的管理和运营(图13)。
值得注意的是,Stormous似乎在GhostSec退出之前就已经将GhostLocker纳入其运营。截至2025年5月,该组织仍然活跃并运营Stormous RaaS计划,这似乎是GhostLocker的延续。这一发展标志着联合威胁团体之间的相互援助和影响,因为像五大家族这样的集体通过共享资源、受众和知识,使他们能够最大化其行动的影响力和广度。
同一枚硬币的两面?
本分析表明,范围内的威胁行为者FunkSec、KillSec和GhostSec遵循了类似的轨迹,从政治动机的破坏性活动转向金融勒索。这种转变可能得益于公开泄露的勒索软件构建器(如LockBit 3.0)的可用性,威胁行为者可以利用这些构建器开发其有效载荷。
这些团体特别采用了双重勒索策略,从受害者那里窃取数据然后加密,试图迫使他们遵守其赎金要求。然而,尽管他们似乎有能力进行勒索软件操作,但这些团体似乎缺乏顶级网络犯罪团体(如Cl0p和LockBit)所具备的复杂性和专业化水平,这些团体在Rapid7 2025年第一季度勒索软件报告中有所提及。
有趣的是,这三个团体在转向网络犯罪时都采用了RaaS作为其商业模式。这种演变与勒索软件生态系统的整体现状一致,因为RaaS计划变得越来越普遍。这些计划展示了其活动的金融性质,使威胁行为者能够通过允许附属机构使用其勒索软件工具包以换取费用和收取的赎金的一部分来最大化其利润。
FunkSec、KillSec和GhostSec的这种转变也影响并扩大了其行动的受害者类型。虽然这些团体曾经是主要针对政府实体的黑客行动主义者,但随着他们转向勒索软件攻击,其活动范围显著扩大。在这个过程中,他们的攻击从针对性转变为机会性,针对不同规模、不同行业和地区的组织,这些组织可能相对容易被攻破。
虽然所有这些团体都遵循从黑客行动主义转向网络犯罪,特别是经济动机的RaaS操作的模式,但这种转变背后的原因仍不清楚。作为一个例外,根据其退出信息,GhostSec似乎是为了为其黑客行动主义行动筹集资金而接受了网络犯罪。值得注意的是,其他威胁行为者,如CyberVolk,也推出了RaaS计划来资助其行动,但这些努力仍然很少。
最后,其他黑客行动主义团体,如Ikaruz Red Team及其附属机构,也运营勒索软件,但他们这样做是为了造成破坏和发表政治声明。因此,其行动范围与金融收益不同,无法与本分析中包含的团体相提并论。
结论
FunkSec、KillSec和GhostSec从黑客行动主义集体到RaaS操作的演变,突显了最近网络犯罪行为的动机转变趋势。最初,这些团体受到政治和意识形态目标的推动,针对政府和组织以符合其感知的事业。然而,随着时间的推移,他们的重点显然转向了经济利益,这从其采用优先考虑利润而非意识形态的RaaS模型中可以看出。随着网络犯罪分子适应"市场需求",很明显,经济动机已经主导了他们的活动,留下了他们早期活动的意识形态根源。
妥协指标(IoCs)
FunkSec
暗网DLS: funksec53xh7j5t6ysgwnaidj5vkh3aqajanplix533kwxdz3qrwugid[.]onion funksec7vgdojepkipvhfpul3bvsxzyxn66ogp7q4pptvujxtpyjttad[.]onion funksecsekgasgjqlzzkmcnutrrrafavpszijoilbd6z3dkbzvqu43id[.]onion
明网DLS: http://funksec[.]top
Funk论坛: http://funk4ph7igelwpgadmus4n4moyhh22cib723hllneen7g2qkklml4sqd[.]onion
会话ID: 0538d726ae3cc264c1bd8e66c6c6fa366a3dfc589567944170001e6fdbea9efb3d
GhostSec
Facebook: facebook.com/OfficialGhostSecGroup Instagram: instagram.com/ghostsecuritygroup LinkedIn: linkedin.com/in/ghostsecuritygroup Twitter: twitter.com/GhostSecGroup Vimeo: vimeo.com/ghostsecgroup 网站: ghostsecuritygroup[.]com YouTube: https://www.youtube.com/channel/UCltlez3dwuV9_xZIi9LWNjA Telegram: https://t.me/GhostSecS
SHA-256: 8b758ccdfbfa5ff3a0b67b2063c2397531cf0f7b3d278298da76528f443779e9c9f71fc4f385a4469438ef053e208065431b123e676c17b65d84b6c69ef6748aa1b468e9550f9960c5e60f7c52ca3c058de19d42eafa760b9d5282eb24b7c55f3ecf05857d65f7bc58b547d023bde7cc521a82712b947c04ddf9d7d1645c0ce0
Stormous
Telegram: https://t.me/StmXRaaSV4 DLS: http://pdcizqzjitsgfcgqeyhuee5u6uki6zy5slzioinlhx6xjnsw25irdgqd[.]onion
KillSec
DLS: http://ks5424y3wpr5zlug5c7i6svvxweinhbdcqcfnptkfcutrncfazzgz5id[.]onion Telegram频道: https://t.me/killsecc TOX ID: 9453686EAB63923D1C35C92DDE5E61A6534DD067B5448C1C8D996A460B92CA5055C1AB0FCD22 会话ID:05cb94c52170c8119f7ebc2d8afc94b9746bc7c361d91c49e7d18e96e266582a07 SHA256: 8cee3ec87a5728be17f838f526d7ef3a842ce8956fe101ed247a5eb1494c579d IP地址: 82[.]147[.]84[.]98, 77[.]91[.]77[.]187, 93[.]123[.]39[.]65
Rapid7客户
InsightIDR和托管检测与响应(MDR)客户通过Rapid7广泛的检测规则库拥有现有的检测覆盖范围。以下是与FunkSec、KillSec和GhostSec勒索软件活动相关的已部署检测的非详尽列表。我们还将继续迭代检测,随着新变体的出现,为客户提供无需手动调整的持续检测:
可疑进程-资产上的恶意哈希
虽然此特定检测直接涵盖与勒索软件操作相关的恶意二进制文件,但客户还受益于一整套检测,这些检测会提醒通常在勒索软件部署之前观察到的后利用行为。这些包括横向移动、权限提升和可疑持久性机制的检测,即使特定的勒索软件有效载荷是新颖或混淆的,也能提供分层防御。