2025年4月以来活動しているGunraランサムウェアグループは、プラットフォーム固有のマルウェアバリアントを通じて世界中のWindowsおよびLinuxシステムを標的にしています。Windows版は安全な暗号化を使用する一方、Linuxバリアントはブルートフォースによる復号を可能にする重大な弱点を抱えています。韓国などの地域の組織が感染を報告しており、グループの活動拡大を強調しています。
Gunraランサムウェアは2025年4月に初めて登場し、それ以来複数の産業および地理的地域で標的型攻撃を実施しており、韓国やより広範なアジア太平洋地域での確認されたインシデントを含みます。グループはデュアルフォーマットのペイロードを展開します:Windows環境向けのEXE実行ファイルとLinuxシステム向けのELFバイナリです。これらのバリアントは機密ファイルを暗号化し、企業データを外部に持ち出し、身代金支払いを要求し、要求が満たされない場合の公開脅迫を行います。
Linux ELF版はコマンドラインインターフェース経由で動作し、スレッド数、対象パス、ファイル拡張子、暗号化率、RSA公開鍵の場所などのパラメータを必要とします。ファイルおよびディスクの暗号化にChaCha20アルゴリズムを使用しますが、欠陥のある乱数生成器に依存しています。rand()関数はtime()関数からの現在の秒単位の時間でシードされ、短い間隔での実行時に同一のシードと鍵およびノンス内の繰り返しバイトシーケンスを引き起こします。この弱点により、0x00から0xFFまでのすべての256の可能なバイト値をテストするブルートフォース攻撃が可能になり、平文データの高い確率での回復を許します。マルウェアは".encrt"拡張子を持つファイルと"R3ADM3.txt"身代金ノートを暗号化から除外します。
対照的に、Windows EXEバリアントはChaCha8暗号化を使用し、暗号化サービスプロバイダからのCryptGenRandom() API経由で鍵を生成し、暗号学的に安全な乱数を確保して復号試行に抵抗します。ASEC研究者および他のセキュリティアナリストはこの格差を指摘しており、Gunraの開発の不整合を強調しています。Linuxに影響を受けた組織はこれらの欠陥を悪用したカスタム復旧プロトコルを追求できますが、Windows被害者は恒久的なデータ損失の可能性が高く、強力なバックアップと予防措置が必要です。