Funksec, SuperBlack e VanHelsing complicano il quadro degli avversari ransomware

Il panorama degli attacchi a fini estorsivi continua ad essere estremamente dinamico. L’emersione di nuovi o rinnovati gruppi ransomware è notizia molto frequente, e ogni volta si scoprono nuove interconnessioni che arricchiscono il quadro e complicano il lavoro degli analisti.

Alla fine del 2024 è comparso il controverso gruppo Funksec, che oscilla fra crimine comune ed hacktivismo. A marzo 2025 sono emersi il ransomware SuperBlack e il nuovo progetto di Ransomware-as-a-Service VanHelsing.

Funksec Team coniuga estorsioni ed hacktivismo

Funksec è un gruppo Ransomware-as-a-Service che a fine 2024 si è palesato con un consistente numero di rivendicazioni. Delle oltre 110 pubblicate complessivamente, quaranta sono state rilasciate sul sito dei leak, a marzo scorso, nell’arco di poche ore.

Fra le vittime, localizzate soprattutto negli USA e in India, vi sono anche quattro realtà italiane, due delle quali, operano nella stessa Regione e nello stesso settore dell’alta formazione. I comparti maggiormente impattati sono quelli tecnologico, governativo e dei servizi professionali. Alcune delle realtà eccellenti elencate sul portale dell’avversario sono la Sorbona in Francia, il Ministero dello Sviluppo e dell’Investimento greco, il Ministero degli Affari Esteri pachistano, la Marina Militare del Bangladesh, la China Securities Regulatory Commission, l’International School of Elite Education egiziana.

A dispetto del livello dei target, Funksec non sembra disporre di risorse e tecniche particolarmente sofisticate. Le dichiarazioni sull’uso di un encryptor sviluppato col supporto dell’AI fanno sospettare scarsa esperienza da parte degli operatori e degli affiliati. Anche le cifre richieste come riscatto, che non avrebbero mai superato i $10.000 in Bitcoin, sono coerenti con un profilo medio-basso.

Le attività che svolge coniugano campagne estorsive con una postura hacktivista pro-Palestina. Funksec fornisce ad altri attaccanti, non solo il ransomware, ma anche strumenti associabili ad offensive hacktiviste, come FDDOS, uno strumento di stress test di rete progettato per eseguire attacchi DDoS. A complicare il quadro, si sospetta che i dati sottratti provengano da precedenti campagne hacktiviste e non da reali compromissioni.

Due indizi inducono ad ipotizzare che il core del team sia localizzato in Algeria. Nel dettaglio, la maggior parte delle versioni dell’encryptor sono state segnalate nel Paese nordafricano e in alcune note di riscatto compare il riferimento al gruppo hacktivista Ghost of Algeria.

SuperBlack (Mora_001) è sofisticato e ha legami importanti

La scoperta del ransomware SuperBlack è avvenuta con il tracciamento di una sofisticata campagna ransomware che ha sfruttato le due vulnerabilità di Fortinet CVE-2024-55591 e CVE-2025-24472.  

L’avversario che lo distribuisce, rinominato Mora_001, combina elementi di attacchi opportunistici con tecniche e tattiche riconducibili all’ecosistema LockBit. In particolare, la minaccia distribuita è risultata essere un encryptor presumibilmente realizzato dal builder trapelato di LockBit 3.0.Inoltre, Mora_001 avrebbe mutuato tattiche e richieste di riscatto anche da gruppi come BlackCat/ALPHV.

Nelle offensive analizzate dai ricercatori, Mora_001 si è concentrato sulla compromissione di obiettivi di alto valore all’interno degli ambienti delle vittime, come server e controller di dominio. Il ransomware è stato eseguito dopo il completamento dell’esfiltrazione dei dati e, al termine dell’operazione, è stato impiegato il wiper WipeBlack, già rilevato in incidenti legati a LockBit e BrainCipher, per cancellare le tracce dell’attacco.

VanHelsing ha regole precise

Il gruppo Ransomware-as-a-Service VanHelsing ha rivendicato una manciata di violazioni nell’arco di un paio di mesi, impattando realtà di vari settori soprattutto gli USA, ma riuscendo a colpire anche in Italia, Austria, Francia e Cile.

L’omonimo encryptor multipiattaforma, scritto in C++, ha una chiave pubblica Curve25519 incorporata nel codice e cifra i file con l’algoritmo ChaCha20. Le funzionalità di cui dispone sembrerebbero incomplete, il che fa ipotizzare una fase di sviluppo non ancora matura.

Gli amministratori della crew consentono ad affiliati ritenuti affidabili di aderire gratuitamente al progetto criminale, mentre chiedono ai nuovi adepti il versamento di un deposito di $5.000. Gli affiliati guadagnano l’80% dei pagamenti dei riscatti, mentre gli operatori principali trattengono il 20%.

Per tutti, l’unica regola è non prendere di mira target nei Paesi della Comunità degli Stati Indipendenti (CSI).