Gunra fidye yazılımı, Nisan 2025’te müthiş bir tehdit olarak ortaya çıktı ve Windows sistemlerini gayrimenkul, ilaç ve üretim gibi endüstriler arasında hedef aldı.
Cyfirma tarafından bildirildiği gibi, bu fidye yazılımı, ödemeleri zorlamak için hassas bilgileri yayarken kurbanların verilerini şifreleyerek sofistike bir çift genişlemeli strateji kullanır.
Japonya, Mısır, Panama, İtalya ve Arjantin’deki belgelenmiş saldırılarla Gunra’nın küresel erişimi, iş operasyonlarını büyük ölçekte bozma potansiyelinin altını çiziyor.
.png
)
Conti fidye yazılımından türetilen ve C/C ++ ile kodlanmış kötü amaçlı yazılım, şifrelenmiş dosyalara “.encrt” uzantısı ekler ve etkilenen dizinlerde “R3ADM3.txt” adlı bir fidye notu bırakır ve kurbanları fidye talepleri için Tor tabanlı bir müzakere portalına yönlendirir.
Teknik Sofistike ve Kaçınma Taktikleri
Gunra fidye yazılımı, algılamadan kaçınmak ve etkiyi en üst düzeye çıkarmak için tasarlanmış gelişmiş kötü niyetli davranışları sergiler.
Enfeksiyon üzerine, çalışma işlemlerini numaralandırır, Windows Management Enstrümantasyonu (WMI) aracılığıyla gölge kopyalarını siler ve hedeflenen şifreleme için sistem bilgilerini toplar.
Anti-analiz yetenekleri, GetCurrentProcess ve TerminateProcess fonksiyonları yoluyla işlem manipülasyonunun yanı sıra, x64dbg ve Windbg gibi hata ayıklayıcıları tespit etmek için IsdebuggerPresent API’sının kullanımı ve ayrıcalık artış ve kod enjeksiyonu için kullanımı içerir.
Fidye yazılımı, dosyaları .docx, .pdf ve .jpg gibi uzantılarla keşfetmek ve şifrelemek için FindNextFileExW ve ilgili işlevleri kullanır ve kapsamlı veri kilitlemesini sağlar.
Şifrelemenin ötesinde, Gunra, yeraltı forumlarındaki çalınan verileri, beş günlük sıkı bir son tarih içinde sızdırmakla tehdit ederek, WhatsApp gibi mesajlaşma uygulamalarına benzer şekilde, müzakereler için “yönetici” gibi rollerle dolu Tor barındıran gasp platformu aracılığıyla kurbanlar üzerindeki baskıyı artırıyor.
MITER ATT & CK çerçevesi ile hizalanması, yürütme (T1047: WMI), kalıcılık (T10542: bootkit), ayrıcalık artış (T1rel enjeksiyonu), savunma kaçakçılığı (T1raçlı Dosyalar), etkisi (T1486: Veri Koordinasyon Tehditi), Resmi Boyama Yaygınlığı’nı kapsayan taktikleri ortaya çıkarır.
Gunra’nın saldırı yaşam döngüsü, sistem süreçlerini haritalamak için keşiften başlayarak modern fidye yazılımı sofistike örneğini örneklendirir, ardından gölge kopya silme yoluyla kurtarma seçeneklerini devre dışı bırakır ve şifreleme ve fidye notu dağılımıyla sonuçlanır.
Bu çok aşamalı yaklaşım sadece operasyonları bozmakla kalmaz, aynı zamanda ters mühendislik çabalarını da engeller ve bu da siber güvenlik ekipleri için kritik bir endişe haline gelir.
Cyfirma, düzenli çevrimdışı yedeklemeler, anti-yazılım anti yazılımı ve yanal hareketi engellemek için WMI kötüye kullanımı veya olağandışı dosya değişiklikleri gibi anormal davranışları izlemek için gelişmiş uç nokta algılama ve yanıt (EDR) sistemleri de dahil olmak üzere sağlam hafifletmeler önerir.
Kuruluşlardan idari ayrıcalıkları sınırlamaları, TOR ile ilgili trafiği izlemeleri ve ilk sızmayı önlemek için çalışanları kimlik avı taktikleri konusunda eğitmeleri istenmektedir.
Gunra fidye yazılımı gelişmeye devam ettikçe, tehdit istihbaratı ile güncellenmek ve proaktif siber güvenlik önlemlerinin uygulanması, bu sinsi küresel tehditten kritik verileri ve altyapıyı korumak için çok önemlidir.
Uzlaşma Göstergeleri (IOCS)
| S.no | Gösterge Türü | Değer |
|---|---|---|
| 1 | MD5 | 9a7c0adedc4c68760e49274700218507 |
| 2 | Sha-256 | 854E5F77F788BBBE6E224195E115C749172CD12302AFCA370D4F9E3D53D005FD |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!