Μια νέα και εξελιγμένη απειλή στον κυβερνοχώρο, γνωστή ως Gunra ransomware, έχει εμφανιστεί, στοχεύοντας οργανισμούς σε όλο τον κόσμο. Αυτό το κακόβουλο λογισμικό στοχεύει κυρίως συστήματα Windows, χρησιμοποιώντας προηγμένες μεθόδους κρυπτογράφησης και τακτικές διπλού εκβιασμού για να πιέσει τα θύματα να πληρώσουν λύτρα. Οι επιθέσεις έχουν ήδη επηρεάσει διάφορους κρίσιμους τομείς, όπως η μεταποίηση, η υγειονομική περίθαλψη, η τεχνολογία και οι καταναλωτικές υπηρεσίες. Θύματα έχουν αναφερθεί σε χώρες όπως η Ιαπωνία, η Αίγυπτος, ο Παναμάς, η Ιταλία και η Αργεντινή.
Πώς Λειτουργεί το Gunra
Το Gunra ransomware, το οποίο εμφανίστηκε για πρώτη φορά τον Απρίλιο του 2025, πιστεύεται ότι βασίζεται στον πηγαίο κώδικα του Conti ransomware και είναι γραμμένο σε C/C++. Χρησιμοποιεί μια στρατηγική διπλού εκβιασμού: όχι μόνο κρυπτογραφεί τα αρχεία του θύματος, αλλά και εξάγει ευαίσθητα δεδομένα. Οι επιτιθέμενοι απειλούν στη συνέχεια να δημοσιεύσουν τα κλεμμένα δεδομένα εάν δεν καταβληθούν τα λύτρα. Μόλις μολύνει ένα σύστημα, το ransomware προσθέτει την επέκταση «.ENCRT» στα κρυπτογραφημένα αρχεία. Σε κάθε κατάλογο, αφήνει ένα σημείωμα λύτρων με το όνομα «R3ADM3.txt».
Τεχνικές Λεπτομέρειες και Τακτικές Αποφυγής
Το Gunra χρησιμοποιεί πολλές εξελιγμένες τεχνικές για να αποφύγει τον εντοπισμό. Διαγράφει τα σκιώδη αντίγραφα (shadow copies) χρησιμοποιώντας το Windows Management Instrumentation (WMI), καθιστώντας δύσκολη την ανάκτηση αρχείων χωρίς αντίγραφα ασφαλείας. Το κακόβουλο λογισμικό χρησιμοποιεί επίσης το IsDebuggerPresent API για να ανιχνεύσει εάν αναλύεται, γεγονός που εμποδίζει τις προσπάθειες αντίστροφης μηχανικής. Επιπλέον, μπορεί να απαριθμήσει τις τρέχουσες διαδικασίες και να ανακτήσει πληροφορίες συστήματος για να προσαρμόσει την επίθεσή του.
Το Σημείωμα Λύτρων και οι Απαιτήσεις
Το σημείωμα λύτρων «R3ADM3.txt» ενημερώνει τα θύματα ότι τα αρχεία τους είναι κρυπτογραφημένα και τα ευαίσθητα δεδομένα τους έχουν κλαπεί. Οι επιτιθέμενοι δίνουν στα θύματα μια προθεσμία πέντε ημερών για να επικοινωνήσουν μαζί τους μέσω μιας καθορισμένης τοποθεσίας .onion στο δίκτυο Tor. Για να αποδείξουν ότι η αποκρυπτογράφηση είναι δυνατή, προσφέρονται να αποκρυπτογραφήσουν μερικά αρχεία δωρεάν. Το σημείωμα προειδοποιεί επίσης να μην παραποιηθούν τα κρυπτογραφημένα αρχεία, καθώς αυτό θα μπορούσε να τα καταστήσει μη ανακτήσιμα. Η πληρωμή των λύτρων δεν συνιστάται, καθώς δεν υπάρχει καμία εγγύηση ότι οι επιτιθέμενοι θα παράσχουν τα εργαλεία αποκρυπτογράφησης.
Συστάσεις για Προστασία
Οι ειδικοί σε θέματα κυβερνοασφάλειας συνιστούν μια πολυεπίπεδη προσέγγιση για την προστασία από το Gunra και παρόμοια ransomware. Οι οργανισμοί θα πρέπει να δημιουργούν τακτικά αντίγραφα ασφαλείας των κρίσιμων δεδομένων και να τα αποθηκεύουν εκτός σύνδεσης ή σε ένα ασφαλές, απομονωμένο περιβάλλον. Η εφαρμογή προηγμένων λύσεων Endpoint Detection and Response (EDR) μπορεί να βοηθήσει στον εντοπισμό ανώμαλων συμπεριφορών, όπως η διαγραφή σκιωδών αντιγράφων ή η μη εξουσιοδοτημένη κρυπτογράφηση αρχείων. Άλλα βασικά μέτρα περιλαμβάνουν την κατάτμηση του δικτύου για τον περιορισμό της πλευρικής κίνησης, την ενεργοποίηση ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) και την εκπαίδευση των εργαζομένων για τον εντοπισμό απόπειρων phishing. Σε περίπτωση μόλυνσης, το προσβεβλημένο σύστημα θα πρέπει να απομονωθεί αμέσως από το δίκτυο για να αποφευχθεί περαιτέρω εξάπλωση.