Siber güvenlik ortamı, yeni ortaya çıkan fidye yazılımı gruplarının sürekli tehditleriyle karşı karşıya kalmaya devam ediyor; Gunra, Nisan 2025’te ortaya çıkışından bu yana önemli bir endişeyi temsil ediyor.
Bu tehdit aktörü, Kore’de belgelenen olaylar da dahil olmak üzere birçok sektörde ve coğrafi bölgede sistematik saldırılar başlattı.
Gunra’yı özellikle dikkate değer kılan şey, çift platform yeteneğidir; grup, her biri farklı şifreleme metodolojileri kullanan, hem Windows hem de Linux sistemlerini hedef alan ayrı kötü amaçlı yazılım çeşitleri dağıtmaktadır.
Bu teknik farklılıkları anlamak, etkili olay müdahalesi ve tehdit azaltma stratejileri geliştiren kuruluşlar için kritik öneme sahiptir.
Gunra’nın operasyonel yaklaşımı, kurumsal altyapıya ilişkin gelişmiş bir anlayışı yansıtıyor.
Fidye yazılımı iki farklı biçimde mevcuttur: Windows ortamları için yürütülebilir (EXE) bir dosya ve Linux sistemleri için bir ELF (Yürütülebilir ve Bağlanabilir Biçim) ikili dosyası.
Bu çift değişkenli strateji, tehdit grubunun heterojen bilgi işlem ortamlarındaki hasarı en üst düzeye çıkarmasını sağlar; bu, karma altyapıya sahip işletmeleri hedef alan gelişmiş fidye yazılımı operasyonları arasında yaygın bir modeldir.
Ayrı ikili dosyaların dağıtımı yalnızca kozmetik değildir; her değişken, belirli işletim sisteminin yeteneklerine göre uyarlanmış temelde farklı şifreleme uygulamalarını içerir.
Bu ayrımın hem saldırganlar hem de savunucular için derin etkileri vardır ve hedeflenen platforma bağlı olarak çarpıcı biçimde farklı tehdit profilleri oluşturur.
Teknik Altyapı ve Konfigürasyon
Her iki Gunra çeşidi de, çalışması için belirli argümanlar gerektiren bir komut satırı arayüzü üzerinden çalışır.
Kötü amaçlı yazılım beş zorunlu parametre talep ediyor: paralelleştirilmiş şifreleme için iş parçacığı sayısı, hedef yol, şifrelenecek dosya uzantıları, şifreleme oranı ve RSA genel anahtar dosya yolu.
Güvenlik açığı, ChaCha20 algoritması için şifreleme anahtarları ve tek seferlik değerler oluşturmak için kullanılan rastgele sayı oluşturma mekanizmasından kaynaklanıyor.
Bu modüler tasarım, operasyonel esneklik için kasıtlı mühendislik önererek operatörlerin saldırıları hedef ortam özelliklerine ve hedeflerine göre özelleştirmesine olanak tanır.
Şifreleme hazırlama aşaması, metodik dosya sistemi geçiş yeteneklerini gösterir. Kötü amaçlı yazılım, uygun şekilde yapılandırıldığında tek tek dosyaları, alt dizin özyinelemeli tüm dizinleri veya tam disk şifrelemesini hedefleyebilir.
Dosya seçimi mantığı, 32’ye kadar özel uzantıyı destekleyen uzantı filtrelemeyi içerir; ancak README dosyaları ve .encrt uzantılı dosyalar gibi belirli sistem dosyaları, sistem işlevselliğini korumak için şifrelemenin dışında bırakılır.
ELF formatının analizi, şifrelenmiş dosyaların güvenliğini temelden zayıflatan yıkıcı bir şifreleme kusurunu ortaya çıkarıyor.
Gunra geliştiricileri, yürütme hızını hesaba katmadan time() işlevine dayanan bir tohumlama mekanizması uyguladı; süreç o kadar hızlı tamamlanıyor ki birden fazla yineleme aynı çekirdek değerlerini alıyor.
Bu uygulama hatası, Rand() işlevinin tekrarlanan bayt dizileri oluşturmasına neden olur ve sonuçta 32 baytlık anahtarlar ve aynı baytlardan oluşan desenler içeren 12 baytlık tek seferlik diziler ortaya çıkar.
Sonuç yıkıcıdır: şifrelenmiş dosyalar, 0x00’den 0xFF’ye kadar 256 olası bayt değerini test eden kaba kuvvet saldırıları yoluyla kurtarılabilir.
Güvenlik araştırmacıları, bu tekniği kullanarak Gunra ile şifrelenmiş dosyaların şifresinin çözüldüğünü başarılı bir şekilde gösterdi; saldırının zayıf kriptografik materyale karşı da geçerli olduğu kanıtlandı.
Windows Varyantı: Daha Güçlü Güvenlik Duruşu
Windows EXE varyantı oldukça farklı bir tehdit profili sunar. Windows uygulaması, time() işlevine güvenmek yerine, Windows Şifreleme Hizmet Sağlayıcısı (CSP) aracılığıyla CryptGenRandom() API’sinden yararlanır.
Bu kurumsal düzeyde rastgele sayı oluşturma, kriptografik olarak güvenli değerler üreterek kaba kuvvet şifre çözme saldırılarını kullanışsız hale getirir.
Windows sürümü ayrıca ChaCha20 yerine ChaCha8’i kullanıyor ve bu da onun uygulamasını Linux benzerinden daha da farklı kılıyor. Bu farklılık muhtemelen geliştiricilerin Windows platformundaki üstün şifreleme kitaplıklarına ve güvenlik uygulamalarına erişimini yansıtıyor.
Gunra’nın iki çeşidi arasındaki farklı güvenlik uygulamaları asimetrik bir tehdit ortamı yaratıyor. Öncelikle Linux altyapısı çalıştıran kuruluşlar, Windows ağırlıklı ortamlara kıyasla önemli ölçüde yüksek şifre çözme riskleriyle karşı karşıyadır.
Bu güvenlik açığı açığı, platforma özel tehdit istihbaratının ve olay müdahale planlamasının önemini vurguluyor.
Savunmacılar, Gunra göstergelerini gösteren sistemlerin derhal izolasyonuna öncelik vermeli ve tanımlanmış kaba kuvvet metodolojilerini kullanan, Linux’un güvenliği ihlal edilmiş sistemler için şifre çözme kurtarma operasyonlarının mümkün olduğunu düşünmelidir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.