O grupo de ransomware Gunra, ativo desde abril de 2025, visa sistemas Windows e Linux em todo o mundo por meio de variantes de malware específicas da plataforma. Embora a versão do Windows utilize criptografia segura, a variante do Linux sofre de fraquezas críticas que permitem descriptografia por força bruta. Organizações em regiões como a Coreia do Sul relataram infecções, destacando a expansão das operações do grupo.
O ransomware Gunra apareceu pela primeira vez em abril de 2025 e, desde então, realizou ataques direcionados em várias indústrias e regiões geográficas, incluindo incidentes confirmados na Coreia do Sul e na área mais ampla da Ásia-Pacífico. O grupo implanta cargas úteis em duplo formato: um executável EXE para ambientes Windows e um binário ELF para sistemas Linux. Essas variantes criptografam arquivos sensíveis, exfiltram dados corporativos e exigem pagamentos de resgate, com ameaças de divulgação pública se as demandas não forem atendidas.
A versão ELF do Linux opera por meio de uma interface de linha de comando, exigindo parâmetros como contagem de threads, caminhos de destino, extensões de arquivos, taxas de criptografia e locais de chaves públicas RSA. Ela usa o algoritmo ChaCha20 para criptografia de arquivos e discos, mas depende de um gerador de números aleatórios defeituoso. A função rand() é semeada com o tempo atual em segundos da função time(), levando a sementes idênticas e sequências de bytes repetidas em chaves e nonces quando as execuções ocorrem em intervalos curtos. Essa fraqueza permite ataques de força bruta testando todos os 256 valores de byte possíveis de 0x00 a 0xFF, permitindo a recuperação de dados em texto plano com alta probabilidade. O malware exclui arquivos com a extensão ".encrt" e a nota de resgate "R3ADM3.txt" da criptografia.
Em contraste, a variante EXE do Windows usa criptografia ChaCha8 e gera chaves via API CryptGenRandom() do Provedor de Serviços de Criptografia, garantindo números aleatórios seguros criptograficamente que resistem a tentativas de descriptografia. Pesquisadores da ASEC e outros analistas de segurança notaram essa disparidade, que ressalta inconsistências no desenvolvimento do Gunra. Organizações afetadas pelo Linux podem perseguir protocolos de recuperação personalizados explorando essas falhas, enquanto vítimas do Windows enfrentam provável perda permanente de dados, necessitando de backups fortes e medidas de prevenção.