Nền tảng Tình báo Mối đe dọa (TIP) của AhnLab đóng vai trò quan trọng trong việc giám sát các hoạt động Gunra ransomware trên các diễn đàn và thị trường dark web. Thông qua tính năng Live View > Dark Web Watch, các đội ngũ bảo mật có thể theo dõi các nhóm đang hoạt động, sự hợp tác giữa chúng và các vectơ tấn công mới nổi, cho phép các tổ chức tăng cường phòng thủ một cách chủ động.
Trong nửa đầu năm 2025, một làn sóng các trang Dedicated Leak Sites (DLS) mới đã được quan sát. AhnLab đã xác định nhiều trang từ tháng 2 đến tháng 6 năm 2025. Đáng chú ý, nhóm Gunra ransomware đã xuất hiện vào tháng 4 năm 2025, thiết lập DLS của riêng mình và thu hút sự chú ý nhờ các chiến thuật tinh vi.
Gunra Ransomware: Nguồn Gốc và Liên Kết với Conti
Các hoạt động ban đầu của Gunra ransomware được truy vết từ ngày 10 tháng 4 năm 2025, cho thấy sự tương đồng về mã với Conti ransomware khét tiếng. Conti là một hoạt động có trụ sở tại Nga, đã hoạt động từ năm 2020. Di sản của Conti bao gồm các chiến dịch tấn công hung hãn đã gây gián đoạn cho các thực thể toàn cầu.
Sự sụp đổ của Conti xảy ra vào tháng 2 năm 2022 khi một chi nhánh người Ukraine đã làm rò rỉ các tài liệu nội bộ và mã nguồn để phản đối lập trường ủng hộ Nga của nhóm. Vụ rò rỉ này đã sản sinh ra các biến thể như Black Basta và Royal. Gunra dường như là một phiên bản phái sinh, tích hợp các cải tiến như đẩy nhanh thời gian đàm phán và tinh chỉnh kỹ thuật xã hội. Điều này làm cho việc phòng chống các cuộc tấn công của mã độc ransomware trở nên phức tạp hơn.
Cơ Chế Hoạt Động Kỹ Thuật của Gunra Ransomware
Áp Lực Thời Gian và Chiến Lược Mục Tiêu
Một đặc điểm nổi bật của Gunra là tối hậu thư năm ngày dành cho nạn nhân để bắt đầu đàm phán, nhằm tăng cường áp lực tâm lý và đẩy nhanh quá trình tống tiền. Luồng thực thi của Gunra được thiết kế để đạt hiệu quả và tàng hình, nhắm mục tiêu vào các hệ thống Windows bằng cách tạo ra các luồng (thread) phù hợp với số lõi logic của CPU nạn nhân để mã hóa tệp song song.
Gunra ransomware tập trung lây nhiễm vào thư mục C:\Users nếu ổ đĩa mục tiêu là C:, chiến lược này nhắm vào dữ liệu người dùng để đạt được tác động tối đa. Để tìm hiểu thêm về các phân tích ransomware chi tiết, bạn có thể tham khảo AhnLab ASEC Blog.
Quy Trình Mã Hóa File
Mã độc này nhúng một khóa công khai RSA bên trong tệp nhị phân của nó, được sử dụng để tạo ra các khóa RSA dành riêng cho phiên. Các khóa này, đến lượt mình, tạo ra các khóa đối xứng ChaCha20 để mã hóa tệp nhanh chóng, dựa trên luồng (stream-based), thêm phần mở rộng .ENCRT.
Gunra ransomware có cơ chế loại trừ các thư mục hệ thống quan trọng như Windows, Boot, và $Recycle.Bin, cũng như các phần mở rộng tệp như .exe, .dll, và .sys để duy trì khả năng hoạt động của máy chủ. Các tệp bị loại trừ khác bao gồm ghi chú đòi tiền chuộc của nó R3ADM3.txt và CONTI_LOG.txt, gợi ý về di sản của Conti.
Xóa Bỏ Shadow Copy
Sau khi mã hóa, Gunra ransomware sử dụng một quy trình dòng lệnh thông qua cmd.exe để gọi WMIC.exe. Điều này nhằm xóa bỏ các bản sao ổ đĩa (volume shadow copies) một cách có hệ thống, ngăn chặn việc phục hồi dễ dàng thông qua các bản chụp nhanh (snapshots).
Ví dụ về lệnh được sử dụng:
cmd.exe /c C:\Windows\System32\wbem\WMIC.exe shadowcopy where “ID={GUID}” deleteGhi Chú Đòi Tiền Chuộc
Ghi chú đòi tiền chuộc, được thả trong các thư mục bị ảnh hưởng, hướng dẫn nạn nhân đến trang web của kẻ tấn công để đàm phán giải mã. Điều này tuân thủ các mô hình ransomware cổ điển nhưng được khuếch đại bởi các yêu cầu có thời hạn.
Các Chỉ Số Thỏa Hiệp (IOCs) của Gunra Ransomware
Các chỉ số nhận dạng và dấu vết của Gunra ransomware bao gồm:
- Phần mở rộng tệp mã hóa:
.ENCRT - Tên tệp ghi chú đòi tiền chuộc:
R3ADM3.txt - Tên tệp nhật ký (nếu có):
CONTI_LOG.txt
Chiến Lược Phòng Ngừa và Phục Hồi Trước Mối Đe Dọa Mạng
Đối phó với sự gia tăng của mã độc ransomware dựa trên DLS đòi hỏi các biện pháp an ninh mạng chủ động và toàn diện. Các tổ chức nên ưu tiên áp dụng các biện pháp bảo vệ để tăng cường bảo mật mạng.
Các Biện Pháp Bảo Vệ Cốt Lõi
- Áp dụng các bản cập nhật bản vá mới nhất cho hệ điều hành và ứng dụng. Kích hoạt tự động cập nhật để bịt kín các lỗ hổng.
- Triển khai và cập nhật các giải pháp chống virus mạnh mẽ.
- Tiến hành sao lưu ngoại tuyến trong các mạng tách biệt và thực hành các bài tập phục hồi để chống lại việc mất dữ liệu.
- Cảnh giác cao độ với lừa đảo (phishing), tránh các liên kết và tệp đính kèm đáng ngờ.
- Sử dụng mật khẩu mạnh và xác thực hai yếu tố (2FA) để tạo ra một lớp phòng thủ đa tầng.
Quản Lý Sao Lưu Chiến Lược
Ngoài các biện pháp cơ bản, quản lý sao lưu chiến lược bao gồm lưu trữ ngoài địa điểm và ngắt kết nối khỏi các mạng chính. Việc kiểm soát truy cập nghiêm ngặt và kiểm tra định kỳ là cần thiết để đảm bảo khả năng phục hồi trong các cuộc tấn công, chẳng hạn như hành vi xóa bản sao bóng của Gunra. Bằng cách dự đoán các mối đe dọa như vậy thông qua các công cụ như AhnLab TIP, các thực thể có thể giảm thiểu thiệt hại và duy trì hoạt động.
