Gunra Ransomware New Linux Varyant, yeni kısmi şifreleme özelliğine sahip 100’e kadar şifreleme iş parçacığı çalıştırıyor


Gunra Ransomware New Linux Varyant, yeni kısmi şifreleme özelliğine sahip 100'e kadar şifreleme iş parçacığı çalıştırıyor

Nisan 2025’teki ilk keşifinden bu yana tehdit grubunun platformlar arası yeteneklerinde önemli bir yükseliş işaret ederek Gunra fidye yazılımlarının sofistike bir yeni Linux varyantı ortaya çıktı.

Kötü şöhretli conti fidye yazılımı tekniklerinden ilham alan fidye yazılımı, operasyonel kapsamını Windows sistemlerinin ötesine hızla genişletti ve grubun kapsamlı kurumsal ağ uzlaşmasına yönelik stratejik evrimini gösterdi.

Gunra fidye yazılımı grubu, siber suçlu manzarada, Brezilya, Japonya, Kanada, Türkiye, Güney Kore, Tayvan ve Amerika Birleşik Devletleri’nde yer alan kurbanlar ile zorlu bir varlık kurdu.

Google Haberleri

Grubun agresif taktikleri, Mayıs 2025’te, bir Dubai hastanesinden 40 terabayt hassas veri sızdırdıkları ve kritik sağlık hizmeti altyapısını hedefleme istekliliğini vurguladıkları iddia edildiği gibi özellikle belirginleşti.

Fidye yazılımı, üretim, sağlık, bilgi teknolojisi, tarım, hukuk ve danışmanlık hizmetleri gibi çeşitli sektörlerdeki kuruluşları başarıyla tehlikeye atmıştır.

Trend mikro araştırmacıları, Linux varyantının hesaplanmış bir genişleme stratejisini temsil ettiğini ve tehdit aktörlerinin karma çevre işletmelerini daha etkili bir şekilde hedeflemelerini sağladığını belirledi.

Nisan ayında ilk çıkışından bu yana, fidye yazılım grubu sızıntı alanlarında 14 kurban talep etti ve tutarlı operasyonel tempo ve kurban edinme yetenekleri gösterdi.

Varyantın sofistike tasarımı, suç örgütü içindeki önemli geliştirme kaynaklarını ve teknik uzmanlığı göstermektedir.

Bu Linux varyantındaki en dikkat çekici teknik ilerleme, eşi görülmemiş çok iş parçacığı, 100’e kadar eşzamanlı şifreleme iş parçacığını desteklemektedir.

Bu, mevcut fidye yazılımı aileleri üzerinde önemli bir geliştirmeyi temsil eder, çoğu varyant eşzamanlı işlemleri 50 iş parçacığıyla sınırlar veya mevcut işlemci çekirdeklerine dayandırır.

Yapılandırılabilir iş parçacığı sistemi, saldırganların hedef sistem özelliklerine göre şifreleme hızını optimize etmesini sağlar.

_int64_fastcall spawn_or_wait_thread(_int64 a1, _int64 a2, int a3, int a4, int a5, int a6)
{
    printf("Spawning thread for %s\n", a1, a3, a4, a5, a6, a2);
    while (1)
    {
        pthread_mutex_lock(&thread_count_mutex);
        if (*(v18+ 4100) > current_thread_count )
            break;
        pthread_mutex_unlock(&thread_count_mutex);
        usleep(1000);
    }
}

Fidye yazılımı, RSA ve ChaCha20 algoritmalarını birleştiren hibrit bir şifreleme şeması kullanır ve dosyaları optimum performans için 1 MB parçalarda işler.

Oran ve sınır parametreleri üzerinden kontrol edilen kısmi şifreleme özelliği, saldırganların dosyaların kısımlarını seçici olarak şifrelemelerine ve veri erişilemediğini korurken işlem süresini azaltmasına olanak tanır.

RSA Şifreli Blob’u depolayan anahtar deposu dosyaları (Kaynak – Trend Micro)

Varyant, iş parçacığı sayısı, hedef yollar, dosya uzantıları, şifreleme oranı ve RSA genel anahtar dosyaları gibi belirli çalışma zamanı bağımsız değişkenleri gerektirir.

Usage: encryptor --threads= --path= --exts= --ratio= --keyfile= [--store=] [--limit=]
Gunra Ransomware tarafından şifrelenen dosyalar (Kaynak – Trend Micro)

Şifrelenmiş dosyalar, RSA ile şifreli anahtarların şifreli dosyalardan ayrı olarak saklanmasına izin veren isteğe bağlı bir anahtar deposu özelliğiyle .Encrt uzantısını alır.

Özellikle, Windows muadilinin aksine, bu Linux varyantı, yalnızca hızlı, yapılandırılabilir dosya şifrelemesine odaklanarak geleneksel fidye notlarını düşürmeden çalışır.

Entegre etmek Herhangi biri. Gelişmiş tehditleri analiz etmek için siem veya soar ile -> 50 ücretsiz deneme aramasını deneyin



Source link