从意识形态到经济收益:探索黑客行动主义与网络犯罪的融合
在网络威胁行为者不断演变的格局中,由意识形态驱动的黑客行动主义与经济动机的网络犯罪分子之间的界限日益模糊。最初由政治、社会或道德原因推动的黑客行动主义团体,历史上通过网站篡改、数据泄露和分布式拒绝服务(DDoS)攻击进行数字抗议。
然而,近年来出现了一个显著趋势。一些黑客行动主义团体正在演变为勒索软件操作,甚至成为勒索软件附属机构。这种转变是由意识形态疲劳、经济收益机会、获取复杂工具以及基于勒索的攻击日益盈利所驱动的。结果产生了一种新型混合威胁行为者——将黑客行动主义的破坏性热情与网络犯罪的无情效率相结合。
理解这一转变对防御者至关重要,因为它代表了动机的融合,使归因、响应和缓解策略复杂化。为此,我们研究了三个相关威胁行为者的突出例子,即FunkSec、KillSec和GhostSec,识别了它们转向经济动机活动的驱动因素,并探讨了其操作手法的变化。
威胁行为者分析
FunkSec
FunkSec勒索软件团体于2024年12月在网络犯罪生态系统中崭露头角。该勒索软件即服务(RaaS)团体迄今已声称至少172名受害者。该团体自豪地宣传自己为AI驱动的勒索软件团体,其加密器FunkLocker和部分恶意软件源代码据称使用生成式AI工具生成。
该团体针对来自不同部门和地区的组织,如政府、教育、汽车、能源、IT和制造业,位于美国、以色列、法国、意大利、德国、印度和澳大利亚等国家。
FunkSec最初是一个有政治动机的黑客(黑客行动主义)团体,特别针对美国(图1)。该团体已知与“自由巴勒斯坦”运动结盟(图2),并与其他黑客行动主义团体如Ghost Algeria和Cyb3r Fl00d关联。其附属机构包括Scorpion(又名DesertStorm,疑似阿尔及利亚黑客)、El_farado、XTN、Blako和Bjorka(据称是印尼黑客行动主义者)。早期,该团体提供通常与黑客行动主义活动相关的工具,包括DDoS和篡改攻击服务。
在某个时间点,该团体将其焦点从政治动机攻击转向RaaS模型,向其附属机构提供可定制工具。其受害者学也从政府实体变为跨部门组织,如教育、技术、电信和农业(图3)。
FunkSec依赖相对简单的基于AI工具的恶意软件开发,也解释了该团体从目标黑客行动主义活动快速转向更广泛的经济动机活动,在短时间内拥有大量受害者(图4)。
该团体的转变也在一个俄语暗网论坛上被引用,作者提到了网络安全供应商关于FunkSec的文章(图5)。
KillSec
KillSec黑客行动主义团体(又名Kill Security)自至少2021年以来一直活跃。该亲俄团体针对来自不同部门的组织,如政府、金融、交通、电子、制造、旅行和娱乐、零售和消费者服务,位于印度、孟加拉国、罗马尼亚、波兰和巴西等国家。该团体自视为“在网络领域运营的 prominent 黑客行动主义团体,专注于破坏和数字行动主义”。
KillSec最初作为与Anonymous集体结盟的黑客行动主义团体出现,其操作主要包括DDoS攻击和网站篡改,然后在2023年10月转向勒索软件操作。KunkSec的勒索软件变体,即KillSecurity 2.0和KillSecurity 3.0,设计用于加密文件并要求支付赎金以解密。
2024年6月,KillSec推出了RaaS操作,广告宣传一个用C++编写的Windows环境加密器和一个仪表板,使附属机构能够观察详细统计数据、进行聊天通信,并使用构建工具自定义勒索软件配置。2024年11月,该团体为ESXi环境推出了额外的加密器,扩大了其操作范围(图6)。
该团体的转变与RaaS程序的整体扩散一致,使技术技能较低的个人能够相对轻松地进行勒索软件攻击以换取费用。该团体一直在广告其RaaS产品,试图吸引网络犯罪分子并进一步扩大其附属网络(图7)。
尽管在某些事件中,KillSec仅利用被盗数据勒索受害者,但该团体似乎主要采用双重勒索策略,除了加密数据外还窃取数据,并要求支付赎金以防止数据泄露。该团体运营一个活跃的专用泄露站点(DLS),上传拒绝支付赎金的受害者数据。该团体还使用其DLS广告其服务,包括渗透测试、数据收集和其RaaS程序(图8)。
应注意,KillSec的DLS还有一个“出售”部分,提供据称从目标公司窃取的数据出售,价格在5,000美元至350,000美元之间(图9)。该团体可能引入此部分以进一步货币化窃取的数据。这种被盗数据和额外服务的提供进一步表明了该团体活动的经济动机性质。
GhostSec
GhostSec黑客行动主义团体(又名Ghost Security、GhostSecMafia和GSM)自至少2015年以来一直活跃。该与Anonymous关联的团体因#OpIsis和#OpParis运动而声名鹊起,其中各种黑客行动主义团体使用篡改和DDoS攻击摧毁了数千个ISIS网站和社交媒体账户。此后,GhostSec参与了#OpLebanon、#OpNigeria、#OpMyanmar、#OpEcuador和#OpColombia等运动。该团体还持续对以色列发动网络攻击,以回应据称的战争罪行,主要篡改其网站以传播“自由巴勒斯坦”信息。
GhostSec向经济动机操作的转变与该团体与网络犯罪分子的合作重叠。2023年7月,GhostSec宣布他们与Stormous勒索软件团体合作,针对古巴的组织(图10)。在此公告之后,Stormous和GhostSec联合声称对三个古巴政府部委进行勒索攻击,GhostSec还表达了未来针对其他国家的联合操作潜力。2023年8月,GhostSec与ThreatSec、Stormous、Blackforums和SiegedSec共同组成了一个统一集体,自称为“五大家族”(图11)。该集体试图勒索古巴总统网站和巴西组织Alfa Comercial。
GhostSec通过2023年10月推出其RaaS程序“GhostLocker”巩固了其在网络犯罪生态系统中的存在,随后不久发布了其信息窃取工具GhostStealer(图12)。2024年1月,发布了更新版的“REWRITE”(又名GhostLocker 2.0)版本,具有全功能管理面板,允许附属机构跟踪活动和支付。该威胁行为者在其Telegram频道上大力推广其恶意软件即服务(MaaS)工具,展示了其吸引附属机构并进而最大化利润的意图。
2024年5月15日,GhostSec宣布从网络犯罪活动中退休并回归黑客行动主义。该团体表示,在获得足够资金支持其黑客行动主义操作后做出了这一决定。GhostSec进一步提到,Stormous将负责GhostLocker的管理和操作(图13)。
应注意,Stormous似乎在GhostSec退休之前已经将GhostLocker纳入其操作。截至2025年5月,该团体仍然活跃并运营Stormous RaaS程序,这似乎是GhostLocker的延续。这一发展标志着联合威胁团体之间的相互援助和影响,因为像五大家族这样的集体允许他们通过共享资源、受众和知识来最大化其操作的影响和广度。
同一枚硬币的两面?
此分析显示,范围内的威胁行为者FunkSec、KillSec和GhostSec遵循了类似的轨迹,从政治动机的破坏性活动转向经济勒索。这一转变可能由公开可用的泄露勒索软件构建器(如LockBit 3.0)促进,威胁行为者可以利用这些构建器开发其有效载荷。
这些团体似乎特别采用了双重勒索策略,从受害者那里窃取数据然后加密,试图迫使他们遵守其赎金要求。然而,尽管它们似乎有能力进行勒索软件操作,但这些团体似乎缺乏顶级网络犯罪团体(如Cl0p和LockBit,在Rapid7 2025年第一季度勒索软件报告中提到)的复杂性和专业化水平。
有趣的是,所有三个团体在转向网络犯罪时都采用了RaaS作为其商业模式。这一演变与勒索软件生态系统的整体现状一致,因为RaaS程序变得越来越普遍。此类程序展示了其活动的经济性质,使威胁行为者能够通过允许附属机构使用其勒索软件工具包以换取费用和收集赎金的一定百分比来最大化其利润。
FunkSec、KillSec和GhostSec的转变也影响并放大了其操作的受害者学。虽然这些团体曾经作为主要针对政府实体的黑客行动主义者运营,但随着它们转向勒索软件攻击,其活动范围显著扩大。在此过程中,它们的攻击从目标性转向机会性,针对不同规模、在不同部门和地区运营、相对容易妥协的组织。
虽然所有这些团体都遵循从黑客行动主义转向网络犯罪,特别是经济动机的RaaS操作的模式,但这一转变背后的原因仍不清楚。作为一个例外,GhostSec似乎接受了网络犯罪以试图为其黑客行动主义操作筹集资金,根据其退出消息。应注意,其他威胁行为者,如CyberVolk,也推出了RaaS程序以资助其操作,但这些努力仍然稀少。
最后,其他黑客行动主义团体,如Ikaruz Red Team及其附属机构,也运营勒索软件,但它们这样做是为了造成破坏和发表政治声明。因此,其操作范围与经济收益不同,无法与本分析中包含的团体相提并论。
结论
FunkSec、KillSec和GhostSec从黑客行动主义集体演变为RaaS操作,突显了最近动机转变的趋势,驱动了网络犯罪行为。最初,这些团体由政治和意识形态目标推动,针对与其感知事业一致的政府和组织。然而,随着时间的推移,它们的焦点显然转向了经济收益,这通过它们采用优先考虑利润而非意识形态的RaaS模型得到证明。随着网络犯罪分子适应“市场需求”,经济动机显然已经主导了它们的活动,留下了它们早期活动的意识形态根源。
妥协指标(IoCs)
FunkSec
暗网DLS:
- funksec53xh7j5t6ysgwnaidj5vkh3aqajanplix533kwxdz3qrwugid[.]onion
- funksec7vgdojepkipvhfpul3bvsxzyxn66ogp7q4pptvujxtpyjttad[.]onion
- funksecsekgasgjqlzzkmcnutrrrafavpszijoilbd6z3dkbzvqu43id[.]onion
明网DLS: http://funksec[.]top
Funk论坛: http://funk4ph7igelwpgadmus4n4moyhh22cib723hllneen7g2qkklml4sqd[.]onion
会话ID: 0538d726ae3cc264c1bd8e66c6c6fa366a3dfc589567944170001e6fdbea9efb3d
GhostSec
Facebook: facebook.com/OfficialGhostSecGroup Instagram: instagram.com/ghostsecuritygroup LinkedIn: linkedin.com/in/ghostsecuritygroup Twitter: twitter.com/GhostSecGroup Vimeo: vimeo.com/ghostsecgroup 网站: ghostsecuritygroup[.]com YouTube: https://www.youtube.com/channel/UCltlez3dwuV9_xZIi9LWNjA Telegram: https://t.me/GhostSecS
SHA-256: 8b758ccdfbfa5ff3a0b67b2063c2397531cf0f7b3d278298da76528f443779e9c9f71fc4f385a4469438ef053e208065431b123e676c17b65d84b6c69ef6748aa1b468e9550f9960c5e60f7c52ca3c058de19d42eafa760b9d5282eb24b7c55f3ecf05857d65f7bc58b547d023bde7cc521a82712b947c04ddf9d7d1645c0ce0
Stormous
Telegram: https://t.me/StmXRaaSV4 DLS: http://pdcizqzjitsgfcgqeyhuee5u6uki6zy5slzioinlhx6xjnsw25irdgqd[.]onion
KillSec
DLS: http://ks5424y3wpr5zlug5c7i6svvxweinhbdcqcfnptkfcutrncfazzgz5id[.]onion Telegram频道: https://t.me/killsecc TOX ID: 9453686EAB63923D1C35C92DDE5E61A6534DD067B5448C1C8D996A460B92CA5055C1AB0FCD22 会话ID: 05cb94c52170c8119f7ebc2d8afc94b9746bc7c361d91c49e7d18e96e266582a07 SHA256: 8cee3ec87a5728be17f838f526d7ef3a842ce8956fe101ed247a5eb1494c579d IP地址: 82[.]147[.]84[.]98, 77[.]91[.]77[.]187, 93[.]123[.]39[.]65
Rapid7客户
InsightIDR和托管检测与响应(MDR)客户通过Rapid7广泛的检测规则库拥有现有检测覆盖。以下是非详尽列表的检测,这些检测已部署并将警报与FunkSec、KillSec和GhostSec勒索软件活动相关的行为。我们还将继续迭代检测,因为新变体出现,为客户提供连续检测而无需手动调整:
可疑进程 - 资产上的恶意哈希
虽然此特定检测直接覆盖与勒索软件操作相关的恶意二进制文件,但客户还受益于一套全面的检测,这些检测警报通常在勒索软件部署之前观察到的后利用行为。这些包括横向移动、权限升级和可疑持久性机制的检测,提供分层防御,即使特定勒索软件有效载荷是新颖或混淆的。