Hacking
Gunra Ransomware: Η διπλή απειλή και παγκόσμια επιρροή
Το Gunra Ransomware απειλεί παγκόσμια με διπλό εκβιασμό, στοχεύοντας ευαίσθητα δεδομένα και επιχειρήσεις με σύνθετες τακτικές.
Η ανάδυση του Gunra Ransomware
Το Gunra Ransomware εμφανίστηκε ως μια σοβαρή απειλή τον Απρίλιο του 2025, στοχεύοντας συστήματα Windows σε διάφορους κλάδους όπως η ακίνητη περιουσία, η φαρμακοβιομηχανία και η βιομηχανική παραγωγή. Η επιθετική του στρατηγική και η ικανότητά του να διαταράσσει επιχειρηματικές λειτουργίες σε παγκόσμια κλίμακα το καθιστούν έναν από τους πιο επικίνδυνους κυβερνοεγκληματίες της εποχής.
Η διπλή στρατηγική εκβιασμού
Σύμφωνα με την CYFIRMA, το Gunra χρησιμοποιεί μια εξελιγμένη στρατηγική διπλού εκβιασμού. Αφενός, κρυπτογραφεί τα δεδομένα των θυμάτων και αφετέρου εξάγει ευαίσθητες πληροφορίες, απειλώντας με διαρροή εάν δεν καταβληθούν λύτρα. Αυτή η διπλή απειλή έχει καταγραφεί σε επιθέσεις σε Ιαπωνία, Αίγυπτο, Παναμά, Ιταλία και Αργεντινή, επιβεβαιώνοντας την παγκόσμια εμβέλεια του Gunra.
Τεχνική ανάλυση και τακτικές αποφυγής
Το Gunra Ransomware είναι προγραμματισμένο σε C/C++ και βασίζεται στο γνωστό Conti Ransomware. Προσθέτει την επέκταση “.ENCRT” στα κρυπτογραφημένα αρχεία και αφήνει ένα σημείωμα λύτρων με την ονομασία “R3ADM3.txt” στους επηρεασμένους φακέλους. Το σημείωμα καθοδηγεί τα θύματα σε μια πύλη διαπραγμάτευσης βασισμένη στο Tor, όπου γίνονται οι απαιτήσεις για την πληρωμή των λύτρων.
Σύνθετη κακόβουλη συμπεριφορά
Η κακόβουλη συμπεριφορά του Gunra περιλαμβάνει την καταγραφή των τρεχουσών διεργασιών, τη διαγραφή αντιγράφων ασφαλείας μέσω του Windows Management Instrumentation (WMI) και τη συλλογή πληροφοριών συστήματος για στοχευμένη κρυπτογράφηση. Χρησιμοποιεί την API IsDebuggerPresent για την ανίχνευση εργαλείων ανάλυσης όπως το x64dbg και το WinDbg, ενώ εκμεταλλεύεται λειτουργίες όπως GetCurrentProcess και TerminateProcess για ανύψωση προνομίων και έγχυση κώδικα.
Εκτεταμένη κρυπτογράφηση αρχείων
Το ransomware χρησιμοποιεί τις λειτουργίες FindNextFileExW και συναφείς για την ανακάλυψη και κρυπτογράφηση αρχείων με επεκτάσεις όπως .docx, .pdf και .jpg, εξασφαλίζοντας πλήρη κλείδωμα δεδομένων. Επιπλέον, απειλεί με διαρροή των κλεμμένων δεδομένων σε υπόγεια φόρουμ εντός πέντε ημερών, αυξάνοντας την πίεση στα θύματα μέσω της πλατφόρμας εκβιασμού στο Tor, η οποία θυμίζει εφαρμογές μηνυμάτων όπως το WhatsApp.
Συμβατότητα με το MITRE ATT&CK
Η ευθυγράμμιση του Gunra με το πλαίσιο MITRE ATT&CK αποκαλύπτει τακτικές που περιλαμβάνουν εκτέλεση (T1047: WMI), επιμονή (T1542: Bootkit), ανύψωση προνομίων (T1055: Process Injection), αποφυγή άμυνας (T1027: Obfuscated Files) και επίδραση (T1486: Data Encryption). Αυτή η πολυεπίπεδη προσέγγιση όχι μόνο διαταράσσει τις λειτουργίες, αλλά και δυσκολεύει τις προσπάθειες ανάλυσης από τις ομάδες κυβερνοασφάλειας.
Προληπτικά μέτρα και συστάσεις
Η CYFIRMA προτείνει ισχυρά μέτρα μετριασμού, συμπεριλαμβανομένων προηγμένων συστημάτων Endpoint Detection and Response (EDR) για την παρακολούθηση ανώμαλων συμπεριφορών όπως η κατάχρηση WMI ή οι ασυνήθιστες τροποποιήσεις αρχείων. Προτείνεται επίσης η τακτική δημιουργία αντιγράφων ασφαλείας εκτός σύνδεσης, η χρήση λογισμικού αντι-εκβιασμού και η τμηματοποίηση δικτύου για την αποτροπή πλευρικής κίνησης.
Συνεχής επαγρύπνηση και ενημέρωση
Οι οργανισμοί καλούνται να περιορίσουν τα διοικητικά προνόμια, να παρακολουθούν την κυκλοφορία που σχετίζεται με το Tor και να εκπαιδεύουν το προσωπικό σε τακτικές phishing για την αποτροπή αρχικής διείσδυσης. Καθώς το Gunra Ransomware συνεχίζει να εξελίσσεται, η ενημέρωση με πληροφορίες απειλών και η εφαρμογή προληπτικών μέτρων κυβερνοασφάλειας παραμένουν κρίσιμες για την προστασία των κρίσιμων δεδομένων και υποδομών.
Δείκτες συμβιβασμού (IOCs)
Οι δείκτες συμβιβασμού περιλαμβάνουν τιμές όπως το MD5: 9a7c0adedc4c68760e49274700218507 και το SHA-256: 854e5f77f788bbbe6e224195e115c749172cd12302afca370d4f9e3d53d005fd, οι οποίες μπορούν να χρησιμοποιηθούν για την ανίχνευση και ανάλυση των επιθέσεων.
