Apparu sur la scène publique à la fin de l’année 2024, le groupe de ransomware FunkSec s’est rapidement distingué en revendiquant plus de 85 victimes en décembre, un chiffre supérieur à tous les autres groupes de ransomware sur la même période. Il se positionne comme une nouvelle opération de Ransomware-as-a-Service (RaaS) et adopte une double stratégie d’extorsion : le vol de données combiné au chiffrement, et ce dans le but de contraindre les victimes à payer des rançons. À ce jour, FunkSec ne semble affilié à aucun gang de ransomware connu. On ne dispose que de très peu d’informations concernant ses origines et son mode opératoire.
Dans son analyse, CPR estime que le nombre élevé de victimes revendiquées par FunkSec pourrait masquer une réalité bien différente, tant sur le plan du nombre réel de victimes que du niveau d’expertise du groupe. La majorité des opérations semblent être menées par des acteurs peu expérimentés qui exploitent les capacités de l’intelligence artificielle. De plus, il est difficile de vérifier l’authenticité des données divulguées, puisque l’objectif principal de FunkSec semble être de gagner en visibilité et en notoriété. Dans certains cas, les informations publiées par le groupe proviendraient de divulgations antérieures liées à des campagnes d’hacktivisme, un fait qui jette le doute sur leur fiabilité.

FunkSec entretient également des liens avec le mouvement hacktiviste, notamment avec des membres basés en Algérie. Cette relation met en évidence la fine limite entre hacktivisme et cybercriminalité et montre à quel point il est difficile de savoir où l’un s’arrête et où l’autre commence. Il n’est d’ailleurs pas certain qu’une telle distinction existe véritablement, ni même que les opérateurs eux-mêmes en soient conscients ou cherchent à la définir. Ce constat soulève d’ailleurs des questions sur la fiabilité des méthodes actuelles de quantification des risques inhérents aux groupes de ransomwares, surtout lorsque ces évaluations s’appuient principalement sur les déclarations publiques des acteurs impliqués.
Une analyse approfondie des activités de FunkSec, enrichie par l’examen des échanges sur le Dark Web, révèle quelques surprises concernant ce groupe. Leurs motivations semblent osciller entre hacktivisme et cybercriminalité. Notons également que certains membres de FunkSec seraient d’anciens hackers, un facteur qui ajoute une dimension particulière à leurs opérations et soulève des interrogations sur leurs véritables objectifs. Si l’on ajoute à cela leurs tactiques et leurs antécédents, FunkSec est un acteur de la cybercriminalité pour le moins intrigant qui mériterait une analyse plus approfondie.