Nel panorama della cybersecurity, FunkSec rappresenta un punto di svolta. Non è soltanto un nuovo gruppo ransomware, ma una minaccia evoluta che combina automazione, intelligenza artificiale e tattiche adattive per massimizzare i profitti e sfuggire ai sistemi di difesa tradizionali. A rivelarne i dettagli è stato il team GReAT di Kaspersky durante l’evento Horizons di Madrid nel luglio 2025, segnalando un salto di qualità inquietante nel modus operandi dei cybercriminali.
Cos’è FunkSec
FunkSec è un gruppo ransomware sofisticato che sfrutta l’intelligenza artificiale per automatizzare attacchi, adattarsi rapidamente agli ambienti target e aumentare l’efficacia della crittografia e della richiesta di riscatto. Si tratta di un ransomware-as-a-service (RaaS) di nuova generazione, capace di personalizzare le sue azioni in base alla vittima, con riscatti che partono da 10.000 dollari e possono salire rapidamente a cifre molto più alte, in base alla rilevanza del bersaglio.
Uno degli aspetti più innovativi è la funzionalità “password-gated”, che blocca l’accesso ai file criptati anche a chi ottiene l’eseguibile del ransomware, rendendo più difficile la decodifica tramite reverse engineering. Inoltre, FunkSec sarebbe in grado di escludere automaticamente target non redditizi, concentrandosi solo su ambienti con elevato potenziale di guadagno, come enti finanziari, infrastrutture sanitarie e pubbliche amministrazioni.
Chi ha sviluppato FunkSec
Non è ancora noto con certezza chi ci sia dietro FunkSec. Tuttavia, gli analisti ritengono che si tratti di cybercriminali con esperienza militare o governativa, vista la complessità delle tecnologie impiegate. Il codice presenta riferimenti a framework d’intelligenza artificiale open source, integrati in moduli sviluppati ad hoc per apprendere dinamicamente dalle difese incontrate in ogni attacco. Alcune evidenze farebbero pensare a collaborazioni tra gruppi ransomware esistenti e nuovi soggetti specializzati in AI offensiva.
Perché FunkSec è così pericoloso
Rispetto ad altri ransomware, FunkSec si distingue per:
- Capacità di autoapprendimento: monitora le risposte difensive dell’infrastruttura attaccata e le aggira.
- Targeting dinamico: seleziona in tempo reale gli asset più critici, evitando quelli che potrebbero rallentare l’azione o esporre i criminali.
- Persistenza avanzata: mantiene l’accesso anche dopo tentativi di bonifica, grazie all’impiego di tecniche AI per il reinserimento.
- Evasione delle difese AI: manipola i modelli di rilevamento automatizzati con tecniche simili alla prompt injection.
Come proteggersi dal ransomware FunkSec
La protezione da minacce come FunkSec richiede un approccio proattivo, multilivello e orientato all’AI. Ecco alcuni principi essenziali:
1. Implementare soluzioni EDR/XDR con AI integrata
Soluzioni tradizionali non bastano più. Occorrono strumenti che sfruttano machine learning comportamentale per identificare attività sospette prima che si trasformino in attacchi completi.
2. Segmentazione e privilegi minimi
Separare le reti critiche e limitare gli accessi secondo il principio del least privilege può contenere la diffusione di un attacco.
3. Backup costanti e offline
I backup devono essere frequenti, testati e non accessibili dalla rete interna. Solo così possono realmente salvare da un attacco ransomware.
4. Simulazioni e penetration test regolari
Verificare la resilienza del proprio ambiente a scenari ransomware realistici aiuta a identificare vulnerabilità latenti.
5. Formazione del personale
Le campagne di phishing restano uno dei vettori principali per l’accesso iniziale. Una cultura della sicurezza aziendale è fondamentale.
FunkSec e il futuro del ransomware
FunkSec non è un caso isolato, ma un segnale del cambiamento strutturale in atto nel cybercrimine: l’intelligenza artificiale sta diventando un alleato anche dei criminali. L’aumento delle capacità dei modelli linguistici, la disponibilità di strumenti di scripting automatizzati e la maggiore potenza computazionale favoriscono lo sviluppo di malware sempre più autonomi, capaci di sfidare le difese anche delle aziende più strutturate.
Il messaggio per imprese, enti pubblici e utenti privati è chiaro: non si può più reagire, occorre anticipare. La cyberdifesa diventa un ambito strategico, non solo tecnico. E FunkSec è un campanello d’allarme da non ignorare.
