El grupo de ransomware Gunra, activo desde abril de 2025, apunta a sistemas Windows y Linux en todo el mundo mediante variantes de malware específicas de la plataforma. Mientras que la versión de Windows emplea encriptación segura, la variante de Linux sufre debilidades críticas que permiten la desencriptación por fuerza bruta. Organizaciones en regiones como Corea del Sur han reportado infecciones, destacando la expansión de las operaciones del grupo.
El ransomware Gunra apareció por primera vez en abril de 2025 y desde entonces ha llevado a cabo ataques dirigidos en múltiples industrias y regiones geográficas, incluyendo incidentes confirmados en Corea del Sur y el área más amplia de Asia-Pacífico. El grupo despliega cargas útiles en doble formato: un ejecutable EXE para entornos Windows y un binario ELF para sistemas Linux. Estas variantes encriptan archivos sensibles, exfiltran datos corporativos y exigen pagos de rescate, con amenazas de divulgación pública si las demandas no se cumplen.
La versión ELF de Linux opera a través de una interfaz de línea de comandos, requiriendo parámetros como el conteo de hilos, rutas objetivo, extensiones de archivos, tasas de encriptación y ubicaciones de claves públicas RSA. Utiliza el algoritmo ChaCha20 para la encriptación de archivos y discos, pero se basa en un generador de números aleatorios defectuoso. La función rand() se siembra con la hora actual en segundos de la función time(), lo que lleva a semillas idénticas y secuencias de bytes repetidas en claves y nonces cuando las ejecuciones ocurren en intervalos cortos. Esta debilidad permite ataques de fuerza bruta probando todos los 256 valores de bytes posibles desde 0x00 hasta 0xFF, permitiendo la recuperación de datos en texto plano con alta probabilidad. El malware excluye archivos con la extensión ".encrt" y la nota de rescate "R3ADM3.txt" de la encriptación.
En contraste, la variante EXE de Windows utiliza encriptación ChaCha8 y genera claves a través de la API CryptGenRandom() del Proveedor de Servicios de Criptografía, asegurando números aleatorios seguros criptográficamente que resisten intentos de desencriptación. Investigadores de ASEC y otros analistas de seguridad han notado esta disparidad, que subraya inconsistencias en el desarrollo de Gunra. Las organizaciones afectadas por Linux pueden perseguir protocolos de recuperación personalizados que exploten estas fallas, mientras que las víctimas de Windows enfrentan una probable pérdida permanente de datos, lo que requiere copias de seguridad sólidas y medidas de prevención.