El recientemente descubierto Ransomware de Gunra es la familia para armarse el código fuente de Conti filtrado, desatando los ataques de doble extinción de disparos rápidos contra los puntos finales de Windows en todo el mundo.
Visto por primera vez en los sitios de fuga de Wark-Web en abril de 2025, Gunra se mueve con una velocidad abrasadora, presionando a las víctimas para negociar dentro de los cinco días y amenazar los vertederos de datos públicos para multiplicar el dolor.
A diferencia de las campañas de spam de pulverización y llave, los operadores favorecen la intrusión práctica, típicamente las redes de violación a través de las credenciales RDP robadas o las puertas de enlace VPN sin partos antes de pivotar lateralmente a los controladores de dominio.
Una vez que se aseguran los puntos de apoyo administrativos, el malware se lleva a docenas de máquinas en minutos a través de PSEXEC o política de grupo, lo que provocó un cifrado simultáneo que obstaculiza las operaciones comerciales.
Analistas de ASEC anotado que más de una docena de empresas en la fabricación, la salud y la logística informaron interrupciones rastreadas a Gunra en sus primeros tres meses de actividad.
Internamente, la cepa refleja el modelo multiproceso de Conti: genera tantos hilos de cifrado como núcleos lógicos de CPU, maximizando el rendimiento del disco mientras minimiza el tiempo de permanencia.
Creación de una clave RSA (fuente – ASEC)
Cada hilo genera una tecla RSA-2048 integrada en el binario para derivar una clave de sesión Chacha20 para la revisión de archivos, luego agrega la extensión “.Encrt”.
De manera crucial, el troyano omite los archivos ejecutables, conductores y del sistema para preservar la estabilidad del sistema operativo, asegurando que las víctimas aún puedan leer la nota de rescate “r3adm3.txt” que queda en cada directorio.
Eliminar la copia de la sombra de volumen (fuente – ASEC)
El tiro de despedida de Gunra es una eliminación quirúrgica de las copias de Windows Shadow. Al conducir WMI a través de WMIC, enumera cada instantánea y las elimina a través del siguiente comando:-
cmd.exe /c c: \ windows \ system32 \ wbem \ wmic.exe shadowcopy donde “id = {guía}” Eliminar
Mecanismo de infección
En el lanzamiento, Gunra crea un mutex único, luego llama a GetNativeSystemInfo para dimensionar su grupo de subprocesos.
Creación de un hilo (fuente – ASEC)
Si el hostes tiene 16 núcleos de CPU, el malware genera 16 rutinas de cifrado, cada una talla de 5 MB fragmentos para alimentar la función FN_FILECRYPT que envuelve las rondas Chacha20 que se muestran a continuación:—-
para (int j = 8; j> 0; j- = 2) {v7+= v11; v19 = ((v7^v19) >> 16) | ((v7^v19)> 20) | ((v15^v11) << 12); / * ... trimestres adicionales ... */}
Debido a que la clave pública de RSA está codificada y nunca deja la memoria, el tráfico de red sigue siendo mínimo, evitando la detección basada en perímetro.
Por lo tanto, las defensas de punto final deben monitorear la ventiladora anormal de hilos y las agresivas deleciones de copia de sombra WMIC para detectar a Gunra antes de que las copias de seguridad desaparezcan.
Experimenta una detección de phishing más rápida y precisa y una protección mejorada para su negocio con análisis de sandbox en tiempo real-> Prueba cualquiera.
