Le groupe de ransomware Gunra, actif depuis avril 2025, cible les systèmes Windows et Linux à travers le monde via des variantes de malwares spécifiques à la plateforme. Alors que la version Windows utilise un chiffrement sécurisé, la variante Linux souffre de faiblesses critiques permettant une décryptage par force brute. Des organisations dans des régions comme la Corée du Sud ont signalé des infections, soulignant l'expansion des opérations du groupe.
Le ransomware Gunra est apparu pour la première fois en avril 2025 et a depuis mené des attaques ciblées dans plusieurs industries et régions géographiques, y compris des incidents confirmés en Corée du Sud et dans la région Asie-Pacifique plus large. Le groupe déploie des charges utiles en double format : un exécutable EXE pour les environnements Windows et un binaire ELF pour les systèmes Linux. Ces variantes chiffrent les fichiers sensibles, exfiltrent les données d'entreprise et exigent des paiements de rançon, avec des menaces de divulgation publique si les demandes ne sont pas satisfaites.
La version ELF Linux fonctionne via une interface en ligne de commande, nécessitant des paramètres tels que le nombre de threads, les chemins cibles, les extensions de fichiers, les taux de chiffrement et les emplacements des clés publiques RSA. Elle utilise l'algorithme ChaCha20 pour le chiffrement des fichiers et des disques, mais repose sur un générateur de nombres aléatoires défectueux. La fonction rand() est initialisée avec l'heure actuelle en secondes de la fonction time(), entraînant des graines identiques et des séquences d'octets répétées dans les clés et les nonces lors d'exécutions à intervalles courts. Cette faiblesse permet des attaques par force brute en testant les 256 valeurs d'octet possibles de 0x00 à 0xFF, permettant la récupération de données en clair avec une probabilité élevée. Le malware exclut les fichiers avec l'extension ".encrt" et la note de rançon "R3ADM3.txt" du chiffrement.
En revanche, la variante EXE Windows utilise le chiffrement ChaCha8 et génère des clés via l'API CryptGenRandom() du Fournisseur de services cryptographiques, assurant des nombres aléatoires sécurisés cryptographiquement qui résistent aux tentatives de décryptage. Des chercheurs d'ASEC et d'autres analystes en sécurité ont noté cette disparité, qui met en évidence les incohérences dans le développement de Gunra. Les organisations affectées par Linux peuvent poursuivre des protocoles de récupération sur mesure exploitant ces failles, tandis que les victimes de Windows risquent une perte de données permanente probable, nécessitant des sauvegardes solides et des mesures de prévention.