Gunra ransomware-gruppen, aktiv sedan april 2025, riktar sig mot både Windows- och Linux-system globalt genom plattformspecifika malware-varianter. Medan Windows-versionen använder säker kryptering, lider Linux-varianten av kritiska svagheter som tillåter brute-force-dekryptering. Organisationer i regioner som Sydkorea har rapporterat infektioner, vilket belyser gruppens utvidgade operationer.
Gunra ransomware dök upp första gången i april 2025 och har sedan dess genomfört riktade attacker över flera industrier och geografiska regioner, inklusive bekräftade incidenter i Sydkorea och den bredare Asien-Stilla havsområdet. Gruppen distribuerar dubbla format av nyttolast: en EXE-exekverbar fil för Windows-miljöer och en ELF-binär för Linux-system. Dessa varianter krypterar känsliga filer, exfiltrerar företagsdata och kräver lösenbetalningar, med hot om offentliggörande om kraven inte uppfylls.
Linux ELF-versionen fungerar via ett kommandoradsgränssnitt och kräver parametrar som trådantal, målmappningar, filändelser, krypteringshastigheter och platser för RSA-offentliga nycklar. Den använder ChaCha20-algoritmen för fil- och disk-kryptering men förlitar sig på en bristfällig slumptalsgenerator. Funktionen rand() seedas med den aktuella tiden i sekunder från time()-funktionen, vilket leder till identiska seedar och upprepade byte-sekvenser i nycklar och nonces vid körningar i korta intervaller. Denna svaghet möjliggör brute-force-attacker genom att testa alla 256 möjliga byte-värden från 0x00 till 0xFF, vilket tillåter återställning av klartextdata med hög sannolikhet. Malware utesluter filer med ".encrt"-ändelsen och lösenbrevet "R3ADM3.txt" från kryptering.
Till skillnad från detta använder Windows EXE-varianten ChaCha8-kryptering och genererar nycklar via CryptGenRandom()-API:n från Cryptographic Service Provider, vilket säkerställer kryptografiskt säkra slumptal som motstår dekrypteringförsök. Forskare från ASEC och andra säkerhetsanalytiker har noterat denna skillnad, som understryker inkonsekvenser i Gunras utveckling. Linux-drabbade organisationer kan följa skräddarsydda återställningsprotokoll som utnyttjar dessa brister, medan Windows-offer står inför trolig permanent dataförlust, vilket kräver starka säkerhetskopior och förebyggande åtgärder.