2025年7月30日Ravie Lakshmanan暗号化 / ランサムウェア
サイバーセキュリティの専門家は、FunkSecと呼ばれるランサムウェアの復号ツールを公開し、被害者が無料でファイルへのアクセスを回復できるようになりました。
「このランサムウェアはすでに活動を停止したと見なされているため、復号ツールを一般公開しました」とGen Digitalの研究者Ladislav Zezulaが述べています。
FunkSecは2024年末ごろに登場し、172件の被害者を出したとRansomware.liveのデータは示しています。標的となった組織の大多数は米国、インド、ブラジルに位置しており、テクノロジー、政府、教育が同グループによる攻撃の上位3分野となっています。
Check Pointによる今年1月のFunkSecの分析では、暗号化ツールの開発に人工知能(AI)ツールが利用された兆候が見つかりました。同グループは2025年3月18日以降、新たな被害者をデータ漏洩サイトに追加しておらず、活動を停止した可能性が示唆されています。
また、このグループは過去のハクティビズム活動に関連する漏洩データセットをアップロードすることで、知名度や認知を得ようとした未熟なハッカーで構成されていたと考えられています。
FunkSecはRustという、高速かつ効率的なプログラミング言語で構築されており、これは最近のランサムウェアグループで人気です。BlackCatやAgendaといった他のファミリーも、攻撃の高速化や検知回避のためにRustを利用しています。FunkSecは暗号化にorion-rsライブラリ(バージョン0.17.7)を使用し、Chacha20およびPoly1305アルゴリズムでファイルをロックします。
「このハッシュベースの手法は、暗号化パラメータ(暗号鍵、ノンス、ブロック長、暗号化データ自体)の整合性を保証します」とZezula氏は指摘します。「ファイルは128バイトごとのブロック単位で暗号化され、各ブロックに48バイトの追加メタデータが付加されるため、暗号化後のファイルは元のファイルより約37%大きくなります。」
Gen Digitalは、どのようにして復号ツールを開発できたのか、また暗号化を逆転可能にする暗号技術上の脆弱性を利用したのかについては明らかにしていません。復号ツールはNo More Ransomプロジェクトを通じて入手可能です。
データの復旧を希望する被害者は、まず暗号化ファイルがFunkSecの署名(通常は.funksec拡張子や独自のメタデータパディング)と一致することを確認してください。No More Ransomポータルでは基本的な使用手順が案内されていますが、管理者は部分的な復旧やファイル破損に備えて、復号前に影響を受けたファイルのバックアップを取ることが推奨されています。
翻訳元: https://thehackernews.com/2025/07/funksec-ransomware-decryptor-released.html