Kelompok ransomware Gunra, yang aktif sejak April 2025, menargetkan sistem Windows dan Linux di seluruh dunia melalui varian malware spesifik platform. Sementara versi Windows menggunakan enkripsi aman, varian Linux menderita kelemahan kritis yang memungkinkan dekripsi paksa. Organisasi di wilayah seperti Korea Selatan melaporkan infeksi, menyoroti perluasan operasi kelompok tersebut.
Ransomware Gunra pertama kali muncul pada April 2025 dan sejak itu melakukan serangan targeted di berbagai industri dan wilayah geografis, termasuk insiden yang dikonfirmasi di Korea Selatan dan wilayah Asia-Pasifik yang lebih luas. Kelompok ini menyebarkan muatan ganda: executable EXE untuk lingkungan Windows dan binary ELF untuk sistem Linux. Varian ini mengenkripsi file sensitif, mengekstrak data perusahaan, dan menuntut pembayaran tebusan, dengan ancaman pengungkapan publik jika tuntutan tidak dipenuhi.
Versi ELF Linux beroperasi melalui antarmuka baris perintah, memerlukan parameter seperti jumlah thread, jalur target, ekstensi file, tingkat enkripsi, dan lokasi kunci publik RSA. Ia menggunakan algoritma ChaCha20 untuk enkripsi file dan disk tetapi bergantung pada generator angka acak yang cacat. Fungsi rand() diisi benih dengan waktu saat ini dalam detik dari fungsi time(), yang menyebabkan benih identik dan urutan byte berulang dalam kunci dan nonce ketika eksekusi terjadi dalam interval pendek. Kelemahan ini memungkinkan serangan paksa dengan menguji semua 256 nilai byte mungkin dari 0x00 hingga 0xFF, memungkinkan pemulihan data teks biasa dengan probabilitas tinggi. Malware mengecualikan file dengan ekstensi ".encrt" dan catatan tebusan "R3ADM3.txt" dari enkripsi.
Sebaliknya, varian EXE Windows menggunakan enkripsi ChaCha8 dan menghasilkan kunci melalui API CryptGenRandom() dari Penyedia Layanan Kriptografi, memastikan angka acak aman secara kriptografis yang menahan upaya dekripsi. Peneliti ASEC dan analis keamanan lainnya mencatat perbedaan ini, yang menekankan inkonsistensi dalam pengembangan Gunra. Organisasi yang terkena dampak Linux dapat mengejar protokol pemulihan khusus yang mengeksploitasi kekurangan ini, sementara korban Windows menghadapi kemungkinan kehilangan data permanen, yang memerlukan cadangan kuat dan langkah pencegahan.