Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Sorbonne Université nel mirino di Funksec: il gruppo ransomware rivendica un attacco

Raffaela Crisci : 9 Marzo 2025 12:13

Il gruppo ransomware Funksec rivendica un attacco alla Sorbonne Université di Parigi, riportando di aver sottratto 20 GB di dati sensibili. Secondo le informazioni pubblicate sul loro Data Leak Site (DLS), i cybercriminali dichiarano di essere in possesso di documenti riservati, credenziali e piani strategici dell’ateneo.

Al momento, non è possibile confermare la veridicità di queste affermazioni, poiché l’organizzazione non ha ancora pubblicato alcun comunicato ufficiale in merito all’incidente. Tuttavia, Funksec avrebbe fissato un ultimatum di 12 giorni, minacciando di rendere pubblici i dati il 19 marzo 2025, qualora non venisse soddisfatta una richiesta – presumibilmente un riscatto in criptovaluta.

Analisi del post pubblicato nel Data Leak Site di Funksec

Il post pubblicato sul DLS di Funksec mostra chiaramente il logo della Sorbonne Université, accompagnato da un messaggio di rivendicazione.

Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)
    •
    Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

     Dall’analisi della schermata emergono alcuni dettagli rilevanti:

    • Il conto alla rovescia: posizionato in alto a destra, indica il tempo rimanente prima della presunta pubblicazione dei dati. Questo è un classico strumento di pressione utilizzato dai gruppi ransomware per spingere la vittima a negoziare prima della scadenza.
    • La descrizione dell’attacco: Funksec affermerebbe di possedere informazioni confidenziali, comprese credenziali e documenti strategici. Tuttavia, non vi sono prove concrete a supporto di questa dichiarazione.
    • La tecnica di intimidazione: il testo presente nel DLS suggerirebbe alle vittime di cercare il proprio nome nei dati compromessi, una tattica psicologica utilizzata per amplificare l’ansia e aumentare la pressione su studenti, docenti e personale.
    • L’identità del gruppo: il marchio “© 2025 Funksec ransomware” mostra l’intento del gruppo di consolidare la propria reputazione nel panorama del cybercrime. La loro strategia sembrerebbe mirata a costruire un’identità riconoscibile, simile a quella di gruppi più noti come LockBit o BlackCat.

    Chi è Funksec? Un gruppo ransomware emergente

    Funksec è un gruppo ransomware emerso pubblicamente alla fine del 2024, guadagnando rapidamente notorietà grazie ad attacchi mirati contro istituzioni governative e accademiche. I suoi membri si dichiarano autodidatti e sembrerebbero collaborare con altri gruppi di cybercriminali per affinare tecniche e strumenti offensivi. Molti attori dietro FunkSec sembrano inesperti, e parte delle informazioni pubblicate potrebbero essere riciclate da precedenti fughe di dati legate ad attività hacktiviste, sollevando dubbi sulla loro autenticità.

    Un aspetto chiave dell’attività di FunkSec è la sua forte presenza su Breached Forum, una delle principali piattaforme di discussione del cybercrimine. Il gruppo ha sfruttato il forum per promuovere le proprie operazioni, condividere fughe di dati e guadagnare notorietà. 

    Uno dei membri più attivi su Breached Forum è Scorpion, noto anche come DesertStorm, che ha promosso FunkSec tramite un video su YouTube nell’ottobre 2024, sebbene il contenuto fosse più propagandistico che una reale dimostrazione delle capacità del gruppo. DesertStorm ha continuato a pubblicare presunte fughe di dati su Breached Forum fino a quando il suo account non è stato bannato nel novembre 2024. Dopo la sua esclusione, un altro attore, El Farado, ha assunto un ruolo chiave nella promozione del gruppo, condividendo fughe di dati e mantenendo alta la visibilità di FunkSec sul forum.

    Le discussioni su Breached Forum indicano che FunkSec utilizza una combinazione di tattiche di hacktivismo e cybercrimine. Alcuni membri del gruppo sembrano avere trascorsi in ambienti hacktivisti, mentre altri sono più orientati al guadagno economico. Il loro ransomware, scritto in Rust e con sviluppo in continua evoluzione, è stato promosso direttamente su Breached Forum con aggiornamenti frequenti sulle nuove funzionalità. Inoltre, FunkSec ha pubblicato richieste di collaborazione e servizi aggiuntivi, tra cui un presunto sistema di “data sorting” gestito da un membro noto come XTN.

    Alcune fughe di FunkSec sono state pubblicate su DarkForums da un utente con il nome Bjorka, un noto hacktivista indonesiano. Tuttavia, non ci sono prove definitive che il vero Bjorka sia coinvolto con FunkSec, e potrebbe trattarsi di un tentativo di sfruttare la sua notorietà.

    L’analisi del loro ransomware suggerisce che il codice sia stato sviluppato con l’assistenza dell’intelligenza artificiale, consentendo al gruppo di iterare rapidamente le versioni nonostante la scarsa esperienza tecnica dei suoi membri. Questo solleva interrogativi sulla reale minaccia rappresentata da FunkSec e sulla difficoltà di distinguere tra hacktivismo e cybercrimine nell’ecosistema ransomware attuale.

    Il gruppo opererebbe secondo il modello della doppia estorsione: non solo cifrerebbe i dati delle vittime, ma ne esfiltrerebbe una copia per minacciarne la pubblicazione in caso di mancato pagamento del riscatto. Questo approccio rende la strategia difensiva più complessa, poiché il semplice ripristino dei sistemi dai backup non sarebbe sufficiente per mitigare il danno reputazionale e legale derivante dalla diffusione delle informazioni rubate.

    FunkSec sostiene di integrare l’intelligenza artificiale nel 30% dei propri processi operativi, sebbene non vi siano prove indipendenti a supporto di questa affermazione. Secondo quanto dichiarato, l’IA verrebbe utilizzata per:

    • Automatizzare attacchi di phishing altamente mirati
    • Creare strumenti personalizzati per lo sfruttamento delle vulnerabilità
    • Analizzare e prioritizzare le potenziali vittime con maggiore efficienza

    L’IA nel cybercrime: una nuova frontiera per il ransomware?

    L’utilizzo dell’intelligenza artificiale nel cybercrime non è una novità assoluta, ma la crescente sofisticazione di questi strumenti sta alimentando una nuova ondata di minacce.  Se le affermazioni di Funksec fossero confermate, saremmo di fronte a un gruppo che sfrutta strumenti avanzati per automatizzare operazioni complesse, riducendo la necessità di competenze manuali e aumentando l’efficacia degli attacchi.

    Le applicazioni dell’IA nel cybercrime potrebbero includere:

    • La generazione di campagne di phishing più realistiche
    • L’identificazione di vulnerabilità con tecniche predittive
    • Lo sviluppo di malware capaci di eludere i sistemi di sicurezza tradizionali

    Nonostante ciò, la maggior parte dei ransomware oggi in circolazione continua a basarsi su tecniche consolidate, come lo sfruttamento di credenziali compromesse o l’abuso di vulnerabilità non patchate. L’intelligenza artificiale potrebbe accelerare questi processi, ma al momento non ha ancora rivoluzionato il panorama delle minacce.

    Conclusioni

    Al momento, la presunta violazione rivendicata dal gruppo Funksec Ransomware rimane non confermata da fonti istituzionali. Tuttavia, la potenziale gravità della questione — vista la natura strategica dei dati che sarebbero stati sottratti — richiede un’attenta valutazione dei rischi e delle contromisure da parte delle autorità competenti.

    RHC continuerà a monitorare la situazione e pubblicherà eventuali ulteriori aggiornamenti qualora emergessero informazioni significative. Invitiamo chiunque sia a conoscenza di dettagli rilevanti a contattarci attraverso la mail crittografata del whistleblower, garantendo la possibilità di rimanere anonimi.

    Raffaela Crisci
    Membro del gruppo di Red Hot Cyber Dark Lab. Ingegnere informatico laureata con lode presso l'Università degli Studi del Sannio, con specializzazione in Cyber Security. Esperta in Cyber Threat Intelligence con esperienza in una multinazionale leader del settore. Forte disciplina e capacità organizzative sviluppate attraverso lo sport

    Articoli in evidenza

    CVE e MITRE salvato dagli USA. L’Europa spettatrice inerme della propria Sicurezza Nazionale

    Quanto accaduto in questi giorni deve rappresentare un campanello d’allarme per l’Europa.Mentre il programma CVE — pilastro della sicurezza informatica globale — rischiava ...

    Spotify è Andato giù e DarkStorm Rivendica un attacco DDoS col botto!

    ​Il 16 aprile 2025, Spotify ha subito un’interruzione del servizio che ha colpito numerosi utenti in Italia e nel mondo. A partire dalle ore 14:00, migliaia di segnalazioni sono state re...

    20 Milioni di euro persi da IKEA per un attacco Ransomware

    Fourlis Group, il gestore dei negozi IKEA in Grecia, Cipro, Romania e Bulgaria, ha dichiarato di aver subito un attacco ransomware prima del Black Friday del 27 novembre 2024, che ha causato...

    CVE a rischio! La spina dorsale della cybersecurity Occidentale potrebbe spegnersi oggi. Riflessioni

    Noi di Red Hot Cyber lo diciamo da tempo: affidarsi esclusivamente a infrastrutture critiche gestite da enti statunitensi è un rischio per l’autonomia strategica europea. È anni che s...

    Breach Forums che fine hai fatto? Sequestro in corso, Honeypot federale o Disservizio?

    A partire da poco dopo la mezzanotte del 15 aprile 2025, BreachForums – uno dei principali forum underground – risulta offline sia nella sua versione clearnet che nella controparte su re...

    Categorie
    Segui i corsi di ethical hacking di CyberSecurityUP
    Banner
    Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

    PRINCIPALI CATEGORIE
    Attacchi Informatici Italiani
    Dark Web & Cybercrime
    0day, bug e Vulnerabilità
    Hacking
    Cybersecurity Italia
    Cyberpolitica & Intelligence

    RISORSE
    Academy
    Rubriche
    Il manifesto di Red Hot Cyber
    Feed RSS
    Contatti

    Copyright @ REDHOTCYBER Srl
    PIVA 17898011006