Yeni Gunra Grubu, başlangıçta Nisan 2025’te keşfedilen virüslerinin bir Linux sürümünü yayınlayarak saldırı yüzeyini Windows PC’lerin ötesine genişletti. Bu, fidye yazılımı ekosisteminde büyük bir artış.
Bu gelişme, Grubun stratejik pivotunu Conti fidye yazılımları gibi öncüllerden esinlenerek platformlar arası hedeflemeye doğru vurgulamaktadır.
Trend Micro’nun tehdit zekası, Gunra’nın Brezilya, Japonya, Kanada, Turkiye, Güney Kore, Tayvan ve Amerika Birleşik Devletleri’ndeki işletmelerdeki faaliyetlerini izledi ve üretim, sağlık hizmetleri, BT, Tarım, Hukuk ve Danışmanlık gibi sektörleri etkiledi.
Dikkate değer olaylar arasında, Mayıs 2025’te bir Dubai hastanesinden 40 terabayt verilerin uygulandığı iddia edildiği iddia edilen devlet kuruluşlarına ve ulaşım gibi endüstrilere karşı girişimlerin yanı sıra.
Gunra, başlangıçtan beri sızıntı bölgesinde talep edilen 14 kurbanla hızlı proliferasyon gösteriyor.
Trend Vision One aracılığıyla analiz edilen Linux varyantı, gelişmiş bir engelleme sağlayarak ve gelişmiş bağlamsal farkındalık için avlanma sorguları, tehdit içgörüleri ve istihbarat raporları sağlayan gelişmiş uzlaşma (IOCS) tespit göstergelerini içerir.
Çok iş parçacıklı yürütme
Rapora göre, Gunra Linux yükü, çalışma için çalışma zamanı argümanlarını zorunlu kılar ve sorunsuz yürütme sağlamak için eksik girdiler için yoksa kullanım talimatlarını görüntüler.
Konsol günlükleri, faaliyetlerini detaylandırarak, 100 paralel iş parçacığında sınırlı yapılandırılabilir çok iş parçacıklı bir şifreleme mekanizması, 50 ile sınırlayan Bert gibi tipik fidye yazılımlarının ötesinde bir sıçrama.
İşlemci kullanılabilirliği veya açık ayarlar tarafından belirlenen bu yapılandırılabilirlik, her 10 milisaniyede bir anket yapan bir senkronizasyon döngüsü kullanır, dosya şifrelemesi sırasında iş parçacığı sınırlarını uygulayan tüm iş parçacıkları Spawn_or_wait_thread işlevi aracılığıyla tamamlanıncaya kadar sonlandırmayı durdurur.
Hedefleme, belirtilen yollar ve uzantılar gerektirir; “All” parametresi ayrım gözetmeden şifrelerken, virgülle ayrılmış listeler belirli uzantılara odaklanır.
Özyinelemeli dizin geçiş alt klasörleri tarar, blok cihazları açıkça –exts = disk ile işaretlenmedikçe zaten şifrelenmiş dosyaları (.encrt sonek tarafından tanımlanmıştır) atlar.
Şifreleme, hybrid_encrypt_file’ı çağıran, çıkışları .encrt ile yeniden adlandıran ve isteğe bağlı olarak fidye notlarını gizliyor.
Özünde, varyant, RSA genel anahtar kriptografisini birleştiren bir PEM dosyasından Chacha20 simetrik akış şifresi ile birleştiren hibrit bir algoritmadan yararlanır.
1MB parçalara Chacha20 uygulamadan önce bu malzemeleri RSA aracılığıyla şifreleyen 32 bayt Chacha20 tuşu, 12 bayt nonc ve 256 bayt dolgu üretir.
Kısmi şifreleme –Ratio ve –Limit parametreleri aracılığıyla ayarlanabilir, saldırganların verimlilik için şifreleme kapsamını dikte etmesine izin verirken, –Store seçeneği RSA-şifrelenmiş blobları eklemek yerine özel anahtar deposu dosyalarına ayırır.
Bu esneklik operasyonları hızlandırır ve toparlanmayı zorlaştırır, Gunra’yı fidye yazılımı taktiklerinde güçlü bir evrim olarak işaretler.
Savunma stratejileri
Bu Linux adaptasyonu, platform-agnostik tehditlere yönelik fidye yazılımı eğilimini örneklendirerek, farklı ortamlara sızarak potansiyel kurbanları güçlendirir.
Gunra, fidye notları olmadan hızlı, yapılandırılabilir şifrelemeye öncelik vererek, müzakere üzerindeki aksamaya odaklanır ve Linux’a bağımlı altyapılar için riskleri artırır.
Bu tür vektörlere karşı koymak için kuruluşlar katmanlı savunmaları benimsemelidir: varlık envanterleri ve güvenlik açığı değerlendirmeleri yapmak, ağ cihazlarında yapılandırma yönetimini uygulamak, zamanında yamalar veya sanal yama uygulamak ve AI güdümlü algılama araçlarını entegre etmek.
Düzenli çalışan eğitimi, kırmızı takım simülasyonları ve penetrasyon testi, Gunra’ya ve benzer tehditlere karşı esnekliği daha da güçlendirerek gelişen bir siber manzarada proaktif hafifletme sağlar.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!