O ransomware Gunra, que veio à tona pela primeira vez em abril de 2025, tem causado prejuízos a empresas dos setores farmacêutico, industrial e imobiliário em diversos países, incluindo Japão, Egito, Panamá, Itália e Argentina.
Este malware adota uma abordagem de extorsão dupla, na qual primeiramente extrai dados confidenciais das vítimas antes de criptografá-los.
Em caso de não pagamento do resgate, os criminosos ameaçam divulgar as informações roubadas em fóruns da deep web.
Os sistemas infectados pelo Gunra têm seus arquivos renomeados com a extensão “.ENCRT”, e um documento denominado “R3ADM3.txt”, contendo instruções, é deixado para as vítimas nos diretórios afetados.
Este arquivo as encaminha para uma página na dark web, na rede Tor, que imita um serviço de mensagens, funcionando como um meio de comunicação para negociação.
O tempo dado para o pagamento do resgate é de apenas cinco dias, findo o qual os dados são publicados.
Originário do código do ransomware Conti, o Gunra possui avanços significativos em termos de evasão e persistência.
Ele coleta dados sobre o sistema infectado, remove pontos de restauração usando WMI, realiza varreduras e injeta código em processos confiáveis.
São executadas ainda rotinas de ofuscação e checagem para a presença de ferramentas de depuração, dificultando sua análise.
A criptografia afeta arquivos de tipos comuns como .docx, .pdf e .jpg, ocasionando a interrupção completa das atividades empresariais afetadas.
As estratégias adotadas pelo Gunra estão em conformidade com o modelo MITRE ATT&CK, abrangendo táticas como execução via WMI, garantia de persistência através de processos de inicialização, elevação de privilégio com a injeção de código e emprego de ofuscação para camuflar atividades maliciosas.
O planejamento altamente detalhado destes ataques complica tanto a detecção precoce quanto a investigação após o incidente.
A CYFIRMA aconselha a adoção de estratégias preventivas, incluindo o uso de soluções EDR (Endpoint Detection and Response), manutenção de backups atualizados, segmentação de rede e restrição de privilégios.
Monitorar as conexões com a rede Tor e promover treinamentos para conscientização sobre phishing entre os colaboradores são também práticas essenciais para reduzir o risco de infecção por este tipo de malware.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...