Gunra и MITRE ATT&CK: что известно о шпионских возможностях нового вымогателя

120 часов до утечки: новый вымогатель Gunra и его шпионские приёмы

В апреле 2025 года в киберпространстве появился новый вымогатель — Gunra, уже атаковавший компании в Японии, Египте, Панаме, Италии и Аргентине. Целями стали фармацевтические, промышленные и девелоперские организации, что говорит о международном масштабе угрозы.

Gunra применяет двойное вымогательство: сначала похищает данные, затем шифрует их, угрожая публикацией, если выкуп не будет выплачен в течение 120 часов. Все зашифрованные файлы получают расширение «.ENCRT», а жертвы получают инструкции в файле «R3ADM3.txt» с ссылкой на сайт в Tor, стилизованный под мессенджер.

Вредонос основан на коде Conti, но использует более продвинутые методы уклонения от обнаружения. Он собирает системную информацию, удаляет теневые копии через WMI, ищет процессы отладки, внедряет свой код в доверенные процессы и выбирает данные для шифрования — от .docx до .jpg.

Атаки Gunra чётко соответствуют модели MITRE ATT&CK: запуск через WMI, повышение привилегий, обфускация, закрепление и финальное шифрование. Такая архитектура делает обнаружение и анализ особенно сложными.

По данным CYFIRMA, защита от Gunra требует проактивных мер: EDR-систем, резервного копирования, сетевой сегментации, ограничения прав доступа и мониторинга трафика в сторону Tor. Также важно повышать осведомлённость сотрудников о фишинге как основном канале заражения.

Gunra — сигнал о новой волне вымогательского ПО, нацеленного не только на деньги, но и на корпоративные тайны.