Группа киберпреступников, известная как Gunra, продолжает расширять сферу своей деятельности, представив новую версию своего вредоносного ПО, нацеленную на операционные системы Linux. Этот шаг свидетельствует о стремлении группы выйти за пределы изначальных целей и увеличить количество потенциальных жертв. Первые случаи активности Gunra были зафиксированы ещё в апреле 2025 года, когда злоумышленники атаковали Windows-системы, используя техники, вдохновлённые печально известным ransomware Conti.
Описание
Linux-версия Gunra обладает рядом особенностей, делающих её особенно опасной. В частности, вредоносное ПО поддерживает параллельное шифрование до 100 потоков, что значительно ускоряет процесс атаки. Кроме того, злоумышленники могут настраивать степень шифрования файлов, выбирая, какая их часть будет заблокирована. Это делает инструмент более гибким и адаптивным по сравнению с ранними версиями. Ещё одной особенностью является возможность хранения ключей RSA в отдельных файлах keystore, что усложняет процесс восстановления данных без участия злоумышленников.
Начиная с апреля 2025 года, жертвами Gunra стали компании из разных стран, включая Бразилию, Японию, Канаду, Турцию, Южную Корею, Тайвань и США. Под удар попали организации из различных отраслей: производство, здравоохранение, IT, сельское хозяйство, а также юридические и консалтинговые фирмы. В мае этого года группа оказалась в центре скандала после утечки 40 терабайт данных из больницы в Дубае.
Анализ кода Linux-версии показал, что для запуска вредоносной программы требуется указание нескольких параметров, включая количество потоков шифрования и пути к файлам для атаки. Если аргументы не переданы, программа выводит инструкции по использованию. В процессе выполнения Gunra выводит логи активности в консоль, что может помочь в отслеживании инцидента, но не предотвращает само заражение.
Шифрование файлов происходит с использованием гибридного алгоритма, сочетающего RSA и ChaCha20. Сгенерированные криптографические ключи шифруются открытым RSA-ключом, указанным злоумышленниками, что делает их недоступными для жертвы. При этом в отличие от Windows-версии, Linux-вариант не оставляет ransom-заметок, что затрудняет коммуникацию с преступниками и усложняет процесс восстановления.
Появление Linux-версии Gunra подчёркивает растущую тенденцию среди киберпреступников к созданию кроссплатформенных решений. Это позволяет им атаковать более широкий спектр целей, включая корпоративные серверы и облачные инфраструктуры, часто развёрнутые на Linux. Всё больше ransomware-групп адаптируют свои инструменты под разные операционные системы, что делает борьбу с ними ещё сложнее.
Для обнаружения и блокировки атак, связанных с Gunra, уже разработаны соответствующие индикаторы компрометации (IOCs). Компании, использующие Trend Vision One, могут получить доступ к специализированным запросам для поиска угроз, аналитическим отчётам и актуальной информации о деятельности группы. В будущем ожидается публикация дополнительных данных о методах первоначального проникновения и распространения вредоносного ПО.
Распространение Linux-версии Gunra - тревожный сигнал для организаций по всему миру. Угроза не ограничивается одной платформой, и злоумышленники продолжают совершенствовать свои инструменты, делая их более мощными и универсальными. В таких условиях критически важно оставаться в курсе последних тенденций в сфере кибербезопасности и оперативно реагировать на новые вызовы.
Индикаторы компрометации
Onion Domains
- gunrabxbig445sjqa535uaymzerj6fp4nwc6ngc2xughf2pedjdhk4ad.onion
URLs
- http://2bw7r32r5eshwk2h7uekj3lwzorxds2jyhyzqyilphid3r27x5hsf4yd[.]onion
- http://jzbhtsuwysslrzi2n5is3gmzsyh6ayhm7jt3xowldhk7rej4dqqubxqd[.]onion/
SHA1
- 0c3c878b678c7254446e84cca6f0d63caeb51880
- 77b294117cb818df701f03dc8be39ed9a361a038
- 79e19d3d8405425735e4b3cd36a8507d99dfee20
- 8404521cf2a53de3459a75ff946873c43211afb6
- 912217b09b13e1e53f7f26335f7f84b3c3918491
- bb79502d301ba77745b7dbc5df4269fc7b074cda
- be6ee00fa5284ee4237f877f4bd5cfa871fdc6ef
