Los expertos en ciberseguridad han lanzado un descifrador para una cepa de ransomware llamada FunkSec, lo que permite a las víctimas recuperar el acceso a sus archivos de forma gratuita.
«Debido a que el ransomware ahora se considera muerto, lanzamos el Decryptor para la descarga pública», dijo el investigador digital Gen Ladislav Zezula.
Funksec, que surgió hacia fines de 2024, ha reclamado a 172 víctimas, según datos de Ransomware.Live. La gran mayoría de las entidades específicas se encuentran en los Estados Unidos, India y Brasil, con la tecnología, el gobierno y la educación que son los tres principales sectores atacados por el grupo.
Un análisis de Funksec por Check Point a principios de enero encontró señales de que el encriptador se desarrolló con la asistencia de las herramientas de inteligencia artificial (IA). El grupo no ha agregado nuevas víctimas a su sitio de fuga de datos desde el 18 de marzo de 2025, lo que sugiere que el grupo ya no puede estar activo.
También se cree que el grupo consistió en piratas informáticos inexpertos que buscaban visibilidad y reconocimiento al cargar conjuntos de datos filtrados asociados con campañas de hacktivismo anteriores.
FunkSec se construyó usando Rust, un lenguaje de programación rápido y eficiente que ahora es popular entre los grupos de ransomware más nuevos. Otras familias, como BlackCat y Agenda, también usan óxido para ayudar a sus ataques a correr rápidamente y evitar la detección. FunkSec se basa en la biblioteca Orion-RS (versión 0.17.7) para el cifrado, utilizando los algoritmos Chacha20 y Poly1305 para bloquear archivos durante su rutina.
«Este método basado en hash garantiza la integridad de los parámetros de cifrado: la clave de cifrado, N-O-Once, Longitudes de bloque y datos cifrados en sí», señaló Zezula. «Los archivos están encriptados por bloque de 128 bytes, agregando 48 bytes de metadatos adicionales a cada bloque, lo que significa que los archivos encriptados son aproximadamente un 37% más grandes que los originales».
Gen Digital no reveló cómo fue capaz de desarrollar un descifrador y si implicaba la explotación de una debilidad criptográfica que permite revertir el proceso de cifrado. Se puede acceder al Decrytor a través del proyecto No More Ransom.
Las víctimas que buscan recuperar sus datos primero deben confirmar que los archivos cifrados coinciden con la firma de FunkSec, típicamente identificada por la extensión .funksec o el relleno de metadatos único. No más el portal de rescate proporciona pasos de uso básicos, pero se recomienda a los administradores que respalden los archivos afectados antes de intentar descifrarse en caso de recuperación parcial o corrupción de archivos.