Liberan un descifrador gratuito para el ransomware FunkSec, inactivo desde marzo de 2025. Las víctimas ya pueden recuperar sus archivos sin pagar rescate.

Un equipo de expertos en ciberseguridad ha hecho público un descifrador gratuito para el ransomware conocido como FunkSec, con el que las víctimas pueden recuperar el acceso a sus archivos sin pagar rescate alguno.

“Como ya se considera que el ransomware está inactivo, decidimos liberar el descifrador para que cualquiera pueda descargarlo”, explicó Ladislav Zezula, investigador de la empresa Gen Digital.

FunkSec apareció por primera vez a finales de 2024 y, según datos de Ransomware.live, llegó a afectar a 172 organizaciones. Los principales países perjudicados fueron Estados Unidos, India y Brasil, y los sectores más atacados fueron el tecnológico, el gubernamental y el educativo.

A principios de enero de este año, la firma de seguridad Check Point analizó el malware y detectó que probablemente fue desarrollado con ayuda de herramientas de inteligencia artificial. Desde el 18 de marzo de 2025, el grupo no ha añadido nuevas víctimas a su sitio de filtraciones, lo que hace pensar que ha dejado de operar.

Todo apunta a que FunkSec estaba formado por atacantes con poca experiencia, cuyo objetivo era ganar visibilidad y notoriedad publicando datos filtrados de campañas anteriores vinculadas al hacktivismo.

El ransomware fue programado en Rust, un lenguaje de programación moderno y eficiente que también ha sido adoptado por otras familias como BlackCat o Agenda, por su capacidad para ejecutar ataques rápidamente y esquivar los sistemas de detección. FunkSec usaba la biblioteca orion-rs (versión 0.17.7) y empleaba los algoritmos Chacha20 y Poly1305 para cifrar los archivos.

“Este sistema basado en hash asegura la integridad de los parámetros del cifrado, como la clave, el número único de cifrado (nonce), el tamaño de los bloques y los propios datos cifrados”, detalló Zezula. El cifrado se hacía en bloques de 128 bytes, a los que se añadían 48 bytes adicionales de metadatos, lo que provocaba que los archivos cifrados aumentaran aproximadamente un 37 % en tamaño respecto al original.

Gen Digital no ha revelado los detalles técnicos de cómo se logró crear el descifrador, ni si se explotó alguna debilidad criptográfica en el proceso. Lo que sí se sabe es que el descifrador está disponible a través del proyecto No More Ransom.

Para quienes quieran recuperar sus archivos, se recomienda verificar primero que los datos cifrados correspondan con la firma de FunkSec, que suele identificarse por la extensión “.funksec” o por ciertos metadatos característicos. Aunque el portal ofrece instrucciones básicas, los expertos aconsejan hacer una copia de seguridad de los archivos antes de usar la herramienta, para evitar la pérdida de información en caso de errores durante el descifrado.

thehackernews[.]com