Группа киберпреступников, стоящая за Gunra ransomware , выпустила новую версию вредоносного ПО, предназначенную для атак на Linux-системы. Этот шаг свидетельствует о переходе от традиционных атак на Windows к более широким кросс-платформенным кампаниям. Обновленный вариант отличается повышенной скоростью шифрования, гибкостью в настройке атак и отсутствием привычных ransom-записок, что усложняет переговоры с жертвами.
Описание
Повышенная эффективность атак
Новая версия Gunra для Linux позволяет злоумышленникам использовать до 100 параллельных потоков шифрования, что значительно превышает возможности многих других ransomware-семейств. Такой подход ускоряет процесс блокировки файлов, минимизируя время на реакцию ИБ-специалистов. Кроме того, злоумышленники могут настраивать параметры атаки, выбирая конкретные пути к файлам, расширения или даже шифровать только часть данных, чтобы избежать обнаружения.
Исследователи Trend Micro обнаружили, что вредоносная программа требует ручного ввода аргументов для запуска, а в случае их отсутствия отображает инструкцию по использованию. Это делает атаку более целенаправленной и снижает вероятность случайного срабатывания. Кроме того, Gunra записывает действия в консольный лог, что позволяет злоумышленникам отслеживать прогресс шифрования в реальном времени.
Новые тактики: отсутствие ransom-записок и частичное шифрование
В отличие от Windows-версии, Linux-вариант Gunra не оставляет файлов с требованиями выкупа, что усложняет процесс переговоров с жертвами. Вместо этого злоумышленники фокусируются на быстром и массовом шифровании, чтобы максимально парализовать работу организации.
Еще одной особенностью является возможность частичного шифрования данных. Атакующие могут указывать, какую именно часть файла нужно закодировать, что может использоваться для демонстрации угрозы перед полной блокировкой системы. Также поддерживается функция сохранения зашифрованных RSA-ключей в отдельных хранилищах, что позволяет злоумышленникам гибко управлять процессом вымогательства.
Глобальные атаки и утечки данных
С момента своего появления в апреле 2025 года Gunra уже заявила о 14 успешных атаках на различные организации. Среди наиболее громких инцидентов - утечка 40 терабайт данных из больницы в Дубае. Группа активно публикует украденную информацию на своем сайте, оказывая давление на жертв.
Географически атаки зафиксированы в Турции, Тайване, США, Южной Корее, Бразилии, Японии и Канаде. Под удар попали государственные учреждения, медицинские организации, производственные и транспортные компании, что говорит о широком охвате целей.
Вывод: усиление угрозы
По мнению аналитиков PolySwarm, Gunra представляет собой быстро эволюционирующую угрозу. Переход на Linux-платформу и новые методы атак делают эту группу особенно опасной для корпоративных сетей. Организациям рекомендуется усилить защиту критической инфраструктуры, регулярно обновлять системы и обучать сотрудников кибербезопасности, чтобы минимизировать риски.
Индикаторы компрометации
SHA256
- 22c47ec98718ab243f2f474170366a1780368e084d1bf6adcd60450a9289e4be
- 5530363373dfe8fa474c9394184d2c56a0682c6a178d6f1c3536a1a3796dff42
- 76f13279f2ea05c8895394f57b71716847857d2beac269272375ce8a71c80e40
- 854e5f77f788bbbe6e224195e115c749172cd12302afca370d4f9e3d53d005fd
- 91f8fc7a3290611e28a35a403fd815554d9d856006cc2ee91ccdb64057ae53b0
- 944a1a411abb97f9ae547099c4834beb49de0745740ba450efb747bd62d8d83b
- a82e496b7b5279cb6b93393ec167dd3f50aff1557366784b25f9e51cb23689d9
