06/05/25
Его активность уже зафиксирована в различных отраслях, включая фармацевтику, недвижимость и промышленность. Пострадавшие компании находятся в Японии, Египте, Панаме, Италии и Аргентине, что указывает на широкий географический охват и международный масштаб угрозы.
Программа использует тактику двойного вымогательства: сначала крадёт конфиденциальную информацию, а затем шифрует все данные на заражённых системах, пишут в Securitylab. В случае неуплаты выкупа хакеры угрожают опубликовать украденные данные, раскрывая всем желающим корпоративные секреты жертвы.
Цель такого подхода — максимизировать шансы на получение выкупа. Все зашифрованные файлы получают расширение «.ENCRT», а в директориях появляется файл с инструкциями под названием «R3ADM3.txt». Через него жертв направляют на скрытый сайт в сети Tor, стилизованный под мессенджер, где ведётся торг за возврат данных.
В основе Gunra лежит код другой известной программы — Conti, написанный на C и C++. Однако в отличие от своего предшественника, Gunra применяет более гибкие и изощрённые методы ухода от обнаружения. Сразу после заражения вредонос собирает данные о работающих процессах, удаляет теневые копии с помощью WMI и анализирует систему для выбора конкретных целей. Одновременно запускаются функции, направленные на обнаружение отладчиков и инструменты анализа, после чего вредонос внедряет свой код в доверенные процессы, чтобы закрепиться в системе.
Для поиска файлов, подлежащих шифрованию, Gunra использует системные вызовы, перебирая данные с расширениями .docx, .pdf, .jpg и другими, что приводит к полной блокировке информации. Одновременно создаётся угроза публикации украденного — злоумышленники устанавливают срок в пять дней, после чего обещают разместить данные на подпольных форумах.
Действия Gunra укладываются в общепринятую модель MITRE ATT&CK. Она включает запуск через WMI, закрепление с помощью загрузочных компонентов, повышение привилегий за счёт внедрения кода, маскировку посредством обфускации и, наконец, шифрование данных как финальную фазу. Вся цепочка атак выстроена последовательно и грамотно, что затрудняет как нейтрализацию угрозы, так и её последующий анализ.
По данным CYFIRMA, сдерживание таких атак требует активного подхода: от использования продвинутых EDR -средств и регулярного резервного копирования до сегментирования сетей и ограничения полномочий пользователей. Также рекомендуется отслеживать подозрительный трафик в сторону Tor и повышать уровень осведомлённости сотрудников о фишинговых методах, чтобы снизить вероятность первоначального проникновения.
