مجموعة برمجية الفدية Gunra، التي أصبحت نشطة منذ أبريل 2025، تستهدف أنظمة Windows وLinux حول العالم من خلال متغيرات برمجيات خبيثة خاصة بالمنصة. بينما تستخدم النسخة الخاصة بـ Windows تشفيرًا آمنًا، تعاني المتغير الخاص بـ Linux من ضعف حرج يسمح بالفك التشفير بالقوة الغاشمة. أبلغت منظمات في مناطق مثل كوريا الجنوبية عن إصابات، مما يبرز توسع عمليات المجموعة.
ظهرت برمجية الفدية Gunra لأول مرة في أبريل 2025 وقد نفذت منذ ذلك الحين هجمات مستهدفة عبر صناعات ومناطق جغرافية متعددة، بما في ذلك حوادث مؤكدة في كوريا الجنوبية ومنطقة آسيا والمحيط الهادئ الأوسع. ينشر المجموعة حمولات مزدوجة التنسيق: ملف تنفيذي EXE لبيئات Windows وملف ثنائي ELF لأنظمة Linux. هذه المتغيرات تشفر الملفات الحساسة، وتستخرج البيانات الشركاتية، وتطالب بدفعات فدية، مع تهديدات بالكشف العام إذا لم تُلبَ الطلبات.
تعمل نسخة ELF الخاصة بـ Linux عبر واجهة سطر الأوامر، وتتطلب معلمات مثل عدد الخيوط، مسارات الهدف، امتدادات الملفات، معدلات التشفير، ومواقع مفاتيح RSA العامة. تستخدم خوارزمية ChaCha20 لتشفير الملفات والأقراص، لكنها تعتمد على مولد أرقام عشوائية معيب. تُزرع دالة rand() بوقت الحالي بالثواني من دالة time()، مما يؤدي إلى بذور متطابقة وتسلسلات بايت متكررة في المفاتيح والـ nonces عند حدوث التنفيذات في فترات قصيرة. يمكن لهذه الضعف تمكين هجمات بالقوة الغاشمة من خلال اختبار جميع 256 قيم بايت ممكنة من 0x00 إلى 0xFF، مما يسمح باستعادة البيانات النصية العادية باحتمالية عالية. يستثني البرمجيات الخبيثة الملفات ذات الامتداد ".encrt" وملاحظة الفدية "R3ADM3.txt" من التشفير.
بالمقابل، تستخدم متغير EXE الخاص بـ Windows تشفير ChaCha8 وتولد المفاتيح عبر API CryptGenRandom() من مزود الخدمات التشفيرية، مما يضمن أرقامًا عشوائية آمنة تشفيريًا تقاوم محاولات الفك التشفير. لاحظ باحثو ASEC ومحللو الأمان الآخرون هذا التباين، الذي يبرز عدم التوافق في تطوير Gunra. يمكن للمنظمات المتضررة من Linux متابعة بروتوكولات استعادة مخصصة تستغل هذه العيوب، بينما يواجه ضحايا Windows احتمال فقدان دائم للبيانات، مما يتطلب نسخ احتياطية قوية وإجراءات وقائية.