Группа Gunra: новая программа-вымогатель с необычной географией атак и тактикой двойного шантажа

Группа практикует тактику двойного шантажа (double extortion): похищенные данные не только шифруются, но и угрожают их публикацией на специальном сайте утечек (Data Leak Site, DLS). За первые пять месяцев активности Gunra заявила о компрометации 18 организаций по всему миру. В список жертв вошли компании из Южной Кореи, Бразилии, Японии, Канады, ОАЭ, Египта, Панамы, Колумбии, Никарагуа, Хорватии и Италии. Примечательно, что Канада является единственной англоязычной страной в этом перечне. Основными секторами-мишенями стали обрабатывающая промышленность, здравоохранение, технологии, сфера услуг и финансы.

Технический анализ показал, что группа активно развивает свое вредоносное программное обеспечение (malicious software). Изначально атаки нацеливались исключительно на среды Windows, однако недавно был обнаружен вариант для Linux, что свидетельствует о непрерывной разработке. Основным вектором начального доступа является фишинг (phishing). Расследование выявило использование злоумышленниками фишингового письма, маскирующегося под уведомление от Microsoft с темой "Проверка безопасности учетной записи Microsoft". Письмо отправлялось с адреса, имитирующего официальный сервис корпорации, что повышало его доверительность.

Внутренняя инфраструктура группы претерпела несколько значительных изменений за короткий срок. Изначально сайт утечек и переговоров работал исключительно в сети Tor. Переговорный портал был стилизован под интерфейс мессенджера WhatsApp, а его backend, как выяснилось, использовал платформу Slack. В июне 2025 года Gunra запустила зеркало сайта утечек в открытом интернете по адресу datapub.news. Однако к августу этот ресурс был отключен хостинг-провайдером, в то время как onion-сайт остается активным.

Анализ образцов вредоносного ПО выявил генетическую связь с наследием печально известной группы Conti. Об этом свидетельствуют идентичные методы, такие как название файла с инструкциями для жертвы - "R3ADM3.txt", и схожие команды для удаления теневых копий объемом свыше 60 штук. Для шифрования данных используются высокоскоростные алгоритмы Salsa20 и ChaCha20, что позволяет злоумышленникам заявлять о возможности зашифровать до 9 ТБ данных за двое суток. В коде также обнаружены рутины, характерные для загрузчика DoNoT, что может указывать на использование готовых решений или сотрудничество с другими преступными группами.

Переговоры с жертвами ведутся агрессивно и часто демонстрируют незрелость операторов. Зафиксированы случаи завышения сумм выкупа до 20 миллионов долларов с последующим снижением до 70 тысяч. Типичные требования варьируются от 1 до 10 миллионов долларов или эквивалента в биткоинах. Интересной деталью является присвоение менеджерам, ведущим переговоры с разными жертвами, цветовых кодов, таких как "Black Manager" или "redManager", что может указывать на внутреннее разделение ролей в группе.

Наиболее интригующим аспектом остается сознательное исключение целей в США из зоны внимания. Специалисты выдвигают несколько гипотез для объяснения этой аномалии. Возможно, сами операторы базируются на территории США и стремятся избежать пристального внимания национальных правоохранительных органов, таких как ФБР (FBI) или CISA (Агентство по кибербезопасности и инфраструктурной безопасности). Другой причиной может быть опасение жестких последствий, включая экстрадицию, которая более вероятна при атаках на американские организации. Также не исключено, что группа действует в русле определенных геополитических интересов, избегая конфронтации с Вашингтоном.

В ходе анализа утечек данных одной из жертв был обнаружен инструмент для удаленного доступа, который антивирусными решениями был классифицирован как потенциально нежелательный или даже вредоносный. Высокий уровень детектирования этого файла, являющегося модифицированной версией легитимного ПО ConnectWise, подчеркивает риски, связанные с использованием подобных утилит, которые могут быть скомпрометированы злоумышленниками.

Группа Gunra демонстрирует сочетание изощренной технической оснащенности и нестандартной операционной стратегии. Их уклонение от целей в США, активное развитие функционала вредоносного ПО и частая смена инфраструктуры делают эту группу значительным игроком на криминальной арене. Организациям, особенно в указанных целевых регионах и секторах, рекомендуется усилить меры защиты от фишинговых атак, регулярно создавать резервные копии критически важных данных и применять комплексные решения для обнаружения и предотвращения угон.

IPv4

• 86.54.28.216

Onion Domains

• 2bw7r32r5eshwk2h7uekj3lwzorxds2jyhyzqyilphid3r27x5hsf4yd.onion
• apdk7hpbbquomgoxbhutegxco6btrz2ara3x2weqnx65tt45ba3sclyd.onion
• gunrabxbig445sjqa535uaymzerj6fp4nwc6ngc2xughf2pedjdhk4ad.onion
• jzbhtsuwysslrzi2n5is3gmzsyh6ayhm7jt3xowldhk7rej4dqqubxqd.onion
• r3tkfu3h7sx4k6n7mr7ranuk5godwz7vlgvv2dk2fs2cbma5nailigad.onion
• vrlgjxbl6yroq26xkcjpafgmmxrlpawvr4agppna6apfxjxav2mq66ad.onion

URLs

• https://bashupload.com/0OoOe/tool.7z
• https://bashupload.com/FOIGR/email.7z
• https://datapub.news

Emails

• [email protected]
• [email protected]

MD5

• 3178501218c7edaef82b73ae83cb4d91
• 4c0e74e9f94dff611226cd1619cb1e1d
• 7dd26568049fac1b87f676ecfaac9ba0
• 8d47d8a5d6e25c96c5e7c7505d430684
• 94b68826818ffe8ceb88884d644ad4fc
• 9a7c0adedc4c68760e49274700218507
• ae6f61c0fc092233abf666643d88d0f3
• f6664f4e77b7bcc59772cd359fdf271c

TOX ID

• 2507312EC10BB44ED9DAA04E3C5C27E8C13154649B1A02E73ACFAE1681EE0208D05133A8FB22