Yeni Gunra Fidye Yazılımı Windows Systems’ı, Dosyaları Şifreleyen ve Gölge Kopyalarını Siler

Ahnlab’ın tehdit istihbarat platformu (TIP), karanlık web forumlarında ve pazar yerlerinde fidye yazılımı faaliyetlerini izlemede etkili olmuştur.

Canlı Görünüm> Dark Web İzleme özelliği sayesinde, güvenlik ekipleri aktif grupları, işbirliklerini ve gelişmekte olan saldırı vektörlerini izleyebilir ve kuruluşların savunmaları önleyici olarak desteklemelerine izin verebilir.

2025’in ilk yarısında, Ahnlab’ın Şubat -Haziran ayları arasında birkaç tanesini tanımlayan yeni özel sızıntı alanlarında (DLS) bir artış gözlenmiştir. Özellikle, Gunra fidye yazılımı grubu Nisan 2025’te ortaya çıktı, DLS’sini kurdu ve sofistike taktikleri nedeniyle dikkat çekti.

İlk faaliyetler, 2020’den beri aktif olan Rusya merkezli bir operasyon olan kötü şöhretli Conti fidye yazılımıyla kod benzerliklerini ortaya koyan 10 Nisan 2025’e kadar izlendi.

Conti’nin mirası, küresel varlıkları bozan agresif kampanyaları içeriyor, ancak düşüşü Şubat 2022’de Ukraynalı bir bağlı kuruluşunun grubun Rus yanlısı duruşuna karşı protesto etmek için iç belgeleri ve kaynak kodunu sızdırdığı zaman geldi.

Bu sızıntı, Black Basta ve Royal gibi varyantları ortaya çıkardı ve Gunra, hızlandırılmış müzakere zaman çizelgeleri ve rafine sosyal mühendislik gibi geliştirmeleri içeren bir türev gibi görünüyor.

Gunra’nın ayırt edici özelliği, kurbanların görüşmeleri başlatması, psikolojik baskıyı yoğunlaştırması ve gasplamayı hızlandırması için beş günlük ültimatomdur.

Gunra’nın şifrelemesinin teknik dökümü

Gunra’nın yürütme akışı, dosya şifrelemesini paralelleştirmek için kurbanın CPU mantıksal çekirdekleriyle uyumlu iş parçacıklarını yumurtlayarak Windows sistemlerini hedefleyen verimlilik ve gizli için tasarlanmıştır.

Oturuma özgü RSA anahtarlarını türetmek için kullanılan ikili içine bir RSA genel anahtarı yerleştirir.

Bunlar sırayla, Windows, Boot ve $ Recycle.bin gibi kritik sistem dizinlerini korurken, “.Encrt” uzantısını ekleyerek, Hızlı, Akış Tabanlı Dosyalar Enstitüsü için Chacha20 simetrik anahtarlar oluşturur.

Hariç tutulan dosyalar arasında “R3ADM3.txt” ve “conti_log.txt” nin konti mirasına ima etmesi.

Kötü amaçlı yazılım, enfeksiyonu C: \ Kullanıcılar klasörüne sınırlarsa, hedef sürücü C:, stratejik olarak maksimum etki için kullanıcı verilerine odaklanıyorsa.

ENCRIPTING sonrası Gunra, cmd.exe aracılığıyla WMIC.EXE’yi çağırmak için bir komut satırı rutini kullanır, “cmd.exe /c c: \ windows \ system32 \ wbem \ wmic.exe ShadowCopy,“ id = {guid} gibi komutlarla sistematik olarak silin.

Etkilenen klasörlere düşen fidye notu, kurbanları şifre çözme müzakereleri için saldırganların sitesine yönlendirir, klasik fidye yazılımı modellerine bağlıdır, ancak zamana duyarlı taleplerle güçlendirilir.

Savunma önlemleri

DLS tabanlı fidye yazılımı çoğaldıkça, işletmeler ve bireyler için ciddi riskler oluştururken, proaktif güvenlik çok önemlidir.

Kuruluşlar, en son yamaların işletim sistemlerine ve uygulamalarına uygulanmasına öncelik vermeli ve otomatik güncellemelerin güvenlik açıklarını mühürlemesini sağlamalıdır.

Sağlam antivirüs çözümlerinin dağıtılması ve güncellenmesi, ayrı ağlarda çevrimdışı yedeklemeler yapmak ve kurtarma tatbikatlarının uygulanması veri kaybına karşı koymak için gereklidir.

Şüpheli bağlantılardan ve eklerden kaçınan kimlik avı ve güçlü şifreler ve iki faktörlü kimlik doğrulama ile birleşen uyanıklık, katmanlı bir savunma oluşturur.

Temel bilgilerin ötesinde, stratejik yedekleme yönetimi, Gunra’nın gölge kopya silme gibi saldırılar arasında restorasyon sağlamak için birincil ağlardan, katı erişim kontrolleri ve düzenli testlerden kopan saha dışı depolama alanı içerir.

Bu tür tehditleri Ahnlab Tip gibi araçlarla tahmin ederek, varlıklar hasarı azaltabilir ve operasyonları sürdürebilir.

Uzlaşma Göstergeleri (IOC)

Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!