从意识形态到经济利益:探索黑客行动主义与网络犯罪的融合
在网络威胁行为者不断演变的背景下,以意识形态驱动的黑客行动主义与以经济利益为主的网络犯罪之间的界限日益模糊。最初由政治、社会或道德原因驱动的黑客行动主义团体,历史上通过网站篡改、数据泄露和分布式拒绝服务(DDoS)攻击进行数字抗议。然而,近年来出现了一个明显趋势:一些黑客行动主义团体正在演变为勒索软件操作,甚至成为勒索软件附属组织。这种转变是由意识形态疲劳、经济利益机会、先进工具的获取以及基于勒索的攻击日益盈利所驱动的。结果是一种新型混合威胁行为者——将黑客行动主义的破坏性热情与网络犯罪的无情效率相结合。
理解这一转变对防御者至关重要,因为它代表了动机的融合,使归因、响应和缓解策略复杂化。为此,我们研究了三个相关威胁行为者的突出例子,即FunkSec、KillSec和GhostSec,识别了它们转向经济利益驱动活动的驱动因素,并探讨了其操作手法的变化。
威胁行为者分析
FunkSec
FunkSec勒索软件组织于2024年12月在网络犯罪生态系统中崭露头角。该勒索软件即服务(RaaS)组织迄今已声称至少172名受害者。该组织自豪地宣传自己为AI驱动的勒索软件组织,其加密器FunkLocker和部分恶意软件源代码据称使用生成式AI工具生成。
该组织目标涵盖多个部门和地区,如政府、教育、汽车、能源、IT和制造业,位于美国、以色列、法国、意大利、德国、印度和澳大利亚等国家。
FunkSec最初是一个以政治动机驱动的黑客(黑客行动主义)组织,特别针对美国(图1)。该组织已知与“自由巴勒斯坦”运动结盟(图2),并与其他黑客行动主义组织如Ghost Algeria和Cyb3r Fl00d关联。其附属组织包括Scorpion(又名DesertStorm,疑似阿尔及利亚黑客)、El_farado、XTN、Blako和Bjorka(据称印尼黑客行动主义者)。早期,该组织提供常用于黑客行动主义活动的工具,包括DDoS和网站篡改攻击服务。
图1 - FunkSec作为黑客行动主义者的活动
图2 - FunkSec针对美国和以色列的声明
在某一点上,该组织将其焦点从政治动机攻击转向RaaS模式,向附属组织提供可定制工具。其受害者类型也从政府实体变为跨多个部门的组织,如教育、技术、电信和农业(图3)。
图3 - FunkSec最新的活跃DLS
FunkSec依赖相对简单的基于AI工具的恶意软件开发,也解释了该组织从针对性黑客行动主义活动快速转向更广泛、经济利益驱动的活动,在短时间内拥有大量受害者(图4)。
图4 - FunkSec的DLS上的受害者
该组织的转型也在一个俄语暗网论坛上被引用,作者提到了一家网络安全供应商关于FunkSec的文章(图5)。
图5 - FunkSec的转型在俄语暗网论坛上被引用
KillSec
KillSec黑客行动主义组织(又名Kill Security)自至少2021年以来一直活跃。该亲俄组织目标涵盖多个部门,如政府、金融、交通、电子、制造、旅行和娱乐、零售和消费者服务,位于印度、孟加拉国、罗马尼亚、波兰和巴西等国家。该组织自称为“在网络领域运营的著名黑客行动主义组织,专注于破坏和数字行动主义”。
KillSec最初作为与Anonymous集体结盟的黑客行动主义组织出现,其操作主要包括DDoS攻击和网站篡改,后在2023年10月转向勒索软件操作。KillSec的勒索软件变种,即KillSecurity 2.0和KillSecurity 3.0,设计用于加密文件并要求支付赎金以解密。
2024年6月,KillSec推出了RaaS操作,广告宣传一个用C++编写的Windows环境加密器和一个仪表板,使附属组织能够观察详细统计、进行聊天通信并使用构建工具自定义勒索软件配置。2024年11月,该组织推出了额外的ESXi环境加密器,扩大了其操作范围(图6)。
图6 - KillSec推出ESXi环境加密器
该组织的转变与RaaS程序的整体扩散一致,使技术技能较低的个人能够相对轻松地进行勒索软件攻击以换取费用。该组织一直在广告其RaaS产品,试图吸引网络犯罪分子并进一步扩大其附属网络(图7)。
图7 - KillSec寻找附属组织
尽管在某些事件中,KillSec仅利用被盗数据勒索受害者,但该组织似乎主要采用双重勒索策略,除了加密数据外还窃取数据,并要求支付赎金以防止数据泄露。该组织运营一个活跃的专用泄露站点(DLS),上传拒绝支付赎金的受害者数据。该组织还使用其DLS广告其服务,包括渗透测试、数据收集和其RaaS程序(图8)。
图8 - KillSec的服务
应注意,KillSec的DLS还有一个“出售”部分,提供据称从目标公司窃取的数据出售,价格在5,000美元到350,000美元之间(图9)。该组织可能引入此部分以进一步货币化窃取的数据。这种被盗数据和额外服务的提供进一步表明该组织活动的经济利益驱动性质。
图9 - KillSec的DLS上的“出售”部分
GhostSec
GhostSec黑客行动主义组织(又名Ghost Security、GhostSecMafia和GSM)自至少2015年以来一直活跃。该与Anonymous关联的组织因#OpIsis和#OpParis活动而声名鹊起,其中各种黑客行动主义组织使用篡改和DDoS攻击摧毁了数千个ISIS网站和社交媒体账户。此后,GhostSec参与了#OpLebanon、#OpNigeria、#OpMyanmar、#OpEcuador和#OpColombia等活动。该组织还持续对以色列发动网络攻击,以回应据称的战争罪行,主要篡改其网站以传播“自由巴勒斯坦”信息。
GhostSec向经济利益驱动操作的转变与该组织与网络犯罪分子的合作重叠。2023年7月,GhostSec宣布与Stormous勒索软件组织合作目标古巴的组织(图10)。此公告后,Stormous和GhostSec联合声称对三个古巴政府部委进行勒索攻击,GhostSec还表达了未来针对其他国家的联合操作潜力。2023年8月,GhostSec与ThreatSec、Stormous、Blackforums和SiegedSec共同组成了一个统一集体,自称为“五大家族”(图11)。该集体试图勒索古巴总统网站和巴西组织Alfa Comercial。
图10 - GhostSec和Stormous联盟公告在其Telegram频道上
图11 - “五大家族”形成公告在其Telegram频道上
GhostSec在2023年10月推出其RaaS程序“GhostLocker”后巩固了其在网络犯罪生态系统中的存在,随后不久发布了其信息窃取工具GhostStealer(图12)。2024年1月,发布了更新版的“REWRITE”(又名GhostLocker 2.0)版本,具有全功能管理面板,允许附属组织跟踪活动和支付。该威胁行为者在其Telegram频道上大力推广其恶意软件即服务(MaaS)工具,展示了其吸引附属组织并最大化利润的意图。
图12 - GhostLocker发布公告
2024年5月15日,GhostSec宣布从网络犯罪活动中退休并回归黑客行动主义。该组织表示在获得足够资金支持其黑客行动主义操作后做出了这一决定。GhostSec进一步提到Stormous将负责GhostLocker的管理和操作(图13)。
图13 - GhostSec从网络犯罪活动中退休
应注意,Stormous似乎在GhostSec退休前已将GhostLocker纳入其操作。截至2025年5月,该组织仍然活跃并运营Stormous RaaS程序,这似乎是GhostLocker的延续。这一发展标志着联合威胁组织之间的相互援助和影响,因为像五大家族这样的集体允许它们通过共享资源、受众和知识来最大化其操作的影响和广度。
同一枚硬币的两面?
此分析显示,范围内的威胁行为者FunkSec、KillSec和GhostSec遵循了类似的轨迹,从政治动机的破坏性活动转向金融勒索。这种转变可能由公开可用的泄漏勒索软件构建器(如LockBit 3.0)促进,威胁行为者可以利用这些构建器开发其有效负载。
这些组织特别似乎采用了双重勒索策略,窃取受害者数据然后加密,试图迫使它们遵守赎金要求。然而,尽管它们似乎有能力进行勒索软件操作,但这些组织缺乏顶级网络犯罪组织(如Cl0p和LockBit,在Rapid7 2025年第一季度勒索软件报告中提到)的复杂性和专业化水平。
有趣的是,所有三个组织在转向网络犯罪时都采用了RaaS作为其商业模式。这种演变与勒索软件生态系统的整体现状一致,因为RaaS程序变得越来越常见。此类程序展示了其活动的金融性质,使威胁行为者能够通过允许附属组织使用其勒索软件工具包以换取费用和收集赎金的一部分来最大化利润。
FunkSec、KillSec和GhostSec的转变也影响并放大了其操作的受害者类型。虽然这些组织曾经作为主要针对政府实体的黑客行动主义者运营,但随着它们转向勒索软件攻击,其活动范围显著扩大。在此过程中,它们的攻击从针对性变为机会性,针对不同规模、在不同部门和地区运营、相对容易妥协的组织。
虽然所有这些组织都遵循从黑客行动主义到网络犯罪,特别是经济利益驱动的RaaS操作的模式,但这种转变背后的原因仍不清楚。作为例外,GhostSec似乎根据其退出信息试图通过拥抱网络犯罪来为其黑客行动主义操作筹集资金。应注意,其他威胁行为者如CyberVolk也推出了RaaS程序以资助其操作,但这些努力仍然稀少。
最后,其他黑客行动主义组织如Ikaruz Red Team及其附属组织也运营勒索软件,但它们这样做是为了造成破坏和发表政治声明。因此,其操作范围不同于经济利益,无法与本分析中包含的组织相提并论。
结论
FunkSec、KillSec和GhostSec从黑客行动主义集体到RaaS操作的演变突显了最近动机转变的趋势,驱动了网络犯罪行为。最初,这些组织由政治和意识形态目标推动,针对与其感知事业一致的政府和组织。然而,随着时间的推移,它们的焦点明显转向经济利益,如其采用优先利润 over 意识形态的RaaS模型所证明。随着网络犯罪分子适应“市场需求”,经济利益显然已主导其活动,留下了其早期活动的意识形态根源。
妥协指标(IoCs)
FunkSec
- 暗网DLS:
funksec53xh7j5t6ysgwnaidj5vkh3aqajanplix533kwxdz3qrwugid[.]onion
funksec7vgdojepkipvhfpul3bvsxzyxn66ogp7q4pptvujxtpyjttad[.]onion
funksecsekgasgjqlzzkmcnutrrrafavpszijoilbd6z3dkbzvqu43id[.]onion - 明网DLS: http://funksec[.]top
- Funkforum: http://funk4ph7igelwpgadmus4n4moyhh22cib723hllneen7g2qkklml4sqd[.]onion
- Session ID: 0538d726ae3cc264c1bd8e66c6c6fa366a3dfc589567944170001e6fdbea9efb3d
GhostSec
- Facebook: facebook.com/OfficialGhostSecGroup
- Instagram: instagram.com/ghostsecuritygroup
- LinkedIn: linkedin.com/in/ghostsecuritygroup
- Twitter: twitter.com/GhostSecGroup
- Vimeo: vimeo.com/ghostsecgroup
- Website: ghostsecuritygroup[.]com
- YouTube: https://www.youtube.com/channel/UCltlez3dwuV9_xZIi9LWNjA
- Telegram: https://t.me/GhostSecSSH
- A-256: 8b758ccdfbfa5ff3a0b67b2063c2397531cf0f7b3d278298da76528f443779e9c9f71fc4f385a4469438ef053e208065431b123e676c17b65d84b6c69ef6748aa1b468e9550f9960c5e60f7c52ca3c058de19d42eafa760b9d5282eb24b7c55f3ecf05857d65f7bc58b547d023bde7cc521a82712b947c04ddf9d7d1645c0ce0
Stormous
- Telegram: https://t.me/StmXRaaSV4
- DLS: http://pdcizqzjitsgfcgqeyhuee5u6uki6zy5slzioinlhx6xjnsw25irdgqd[.]onion
KillSec
- DLS: http://ks5424y3wpr5zlug5c7i6svvxweinhbdcqcfnptkfcutrncfazzgz5id[.]onion
- Telegram channel: https://t.me/killsecc
- TOX ID: 9453686EAB63923D1C35C92DDE5E61A6534DD067B5448C1C8D996A460B92CA5055C1AB0FCD22
- Session ID: 05cb94c52170c8119f7ebc2d8afc94b9746bc7c361d91c49e7d18e96e266582a07
- SHA256: 8cee3ec87a5728be17f838f526d7ef3a842ce8956fe101ed247a5eb1494c579d
- IP addresses: 82[.]147[.]84[.]98, 77[.]91[.]77[.]187, 93[.]123[.]39[.]65
Rapid7客户
InsightIDR和托管检测与响应(MDR)客户通过Rapid7广泛的检测规则库拥有现有检测覆盖。以下是非详尽列表的检测,这些检测已部署并将警报与FunkSec、KillSec和GhostSec勒索软件活动相关的行为。我们还将继续迭代检测以应对新变种,为客户提供无需手动调整的持续检测:
- 可疑进程 - 资产上的恶意哈希
虽然此特定检测直接覆盖与勒索软件操作相关的恶意二进制文件,但客户还受益于一套全面的检测,警报通常在勒索软件部署前观察到的后期利用行为。这些包括横向移动、权限升级和可疑持久性机制的检测,提供分层防御,即使特定勒索软件有效负载是新颖或混淆的。
文章标签
- 威胁情报
- 勒索软件
作者
- Alexandra Blia
- Yaniv Allender
相关博客文章
(略)