Investigadores de la empresa antivirus Avast han desarrollado y puesto a disposición un desencriptador gratuito para el ransomware FunkSec, permitiendo a las víctimas recuperar sus archivos cifrados sin necesidad de pagar rescate.

Ladislav Zezul, investigador de malware en la empresa matriz de Avast, Gen, informó en un reciente blog que su equipo trabajó en colaboración con autoridades para ayudar a las víctimas del grupo FunkSec a descifrar sus archivos sin costo alguno.

Según el sitio de filtración de datos del grupo, se identificaron 113 víctimas afectadas por esta amenaza.

El análisis sugiere que inicialmente el grupo se enfocó en la exfiltración de datos y extorsión, incorporando posteriormente el cifrado de archivos en sus ataques.

El historial de operaciones indica que la primera víctima apareció antes de que se conociera el ransomware, a inicios de 2024, y que la actividad continuó hasta al menos marzo de 2025.

“Como ahora el ransomware se considera inactivo, hemos lanzado el desencriptador para descarga pública,” escribió Zezul.

Una operación de ransomware de bajo nivel técnico

FunkSec apareció a finales de 2024 y parece haber sido desarrollada con ayuda de inteligencia artificial, aunque sus operadores demostraron poca experiencia técnica.

Según un informe de Check Point de enero de 2025, FunkSec probablemente fue manejado por actores poco experimentados vinculados a actividades hacktivistas.

El uso de IA puede haber acelerado su desarrollo pese a la falta de conocimientos técnicos de sus creadores, comentaron los investigadores de Check Point.

Sergey Shykevich, gerente de inteligencia de amenazas en Check Point, señaló en la conferencia CPX 2025 en Viena que “el ransomware de FunkSec no es muy sofisticado, y el actor detrás no es muy técnico. Reciclaron código y usaron IA, pero el ransomware funciona, causa interrupciones y cifra datos”.

Cómo usar el desencriptador de FunkSec

Las características típicas del ransomware FunkSec incluyen archivos cifrados con la extensión .funksec y la presencia de una nota de rescate llamada README-{random}.md en cada carpeta afectada.

Para recuperar los archivos, las organizaciones pueden seguir estos pasos:

1. Descargar el archivo del desencriptador para Windows 64-bit desde el sitio oficial de Avast.
2. Ejecutar el desencriptador como administrador; aparecerá una guía paso a paso.
3. Revisar la información de licencia y hacer clic en “Siguiente”.
4. Seleccionar las unidades o carpetas con archivos cifrados (las unidades locales están seleccionadas por defecto).
5. Mantener activada la opción de respaldo (recomendado) y hacer clic en “Desencriptar”.
6. Esperar a que el proceso finalice.

Esta herramienta representa un gran avance para que las víctimas de FunkSec puedan recuperar sus datos sin recurrir al pago de rescates y destaca la importancia de la cooperación entre la industria de ciberseguridad y las autoridades.

Fuente: https://www.infosecurity-magazine.com/news/funksec-ransomware-decryptor