Gunra ransomware đang chuyển từ một biến thể mới thành một mối đe dọa mạng có cấu trúc rõ ràng, với mô hình Ransomware as a Service (RaaS) và số lượng nạn nhân tăng nhanh. Theo báo cáo được công bố, chiến dịch này đã mở rộng hoạt động trong thời gian ngắn, cho thấy một hệ sinh thái ransomware đang phát triển thay vì một đợt tấn công đơn lẻ.
Gunra ransomware và quá trình mở rộng RaaS
Gunra lần đầu được ghi nhận vào tháng 4/2025, khi nhóm này nhắm vào 5 công ty tại Hàn Quốc. Ở giai đoạn đầu, Gunra sử dụng một Conti-based ransomware locker, tái sử dụng mã và kỹ thuật từ một họ mã độc cũ.
Về sau, nhóm này chuyển sang vận hành hoàn toàn theo mô hình RaaS, trong đó các affiliate thuê công cụ và chia sẻ lợi nhuận từ mỗi vụ tấn công. Đến ngày 9/3/2026, đã có 32 tổ chức nạn nhân được xác nhận.
Tham khảo thêm báo cáo gốc tại nguồn đáng tin cậy: S2W report.
Đặc điểm vận hành của chiến dịch
Ngay từ đầu, các hoạt động của Gunra đã thể hiện mức độ tổ chức cao. Nhịp hoạt động chủ yếu bám theo giờ làm việc tại châu Á, với các đợt thao tác tập trung vào buổi sáng. Cách vận hành này cho thấy nhóm không triển khai tấn công ngẫu nhiên mà có lịch trình rõ ràng.
Việc chuyển từ locker dựa trên Conti sang ransomware riêng của Gunra là điểm quan trọng trong quá trình mở rộng. Ban đầu, việc dựa vào code có sẵn giúp triển khai nhanh, nhưng hạn chế khả năng tùy biến. Khi xây dựng được ransomware riêng và tích hợp vào panel lưu trữ, nhóm có thể kiểm soát từ build options đến negotiation workflow.
Hạ tầng RaaS và chức năng panel
Trong mô hình được mô tả, Gunra cung cấp một web-based panel để affiliate quản lý tấn công, theo dõi nạn nhân và xử lý thanh toán. Panel này bao gồm các thành phần:
- Negotiation: Quản lý quá trình mặc cả.
- Files: Theo dõi và hiển thị tệp liên quan.
- Lock Tool: Công cụ khóa dữ liệu.
- Handler: Xử lý luồng hoạt động.
- Brand Setting: Cho phép affiliate chạy dưới thương hiệu riêng.
Chức năng Brand Setting đặc biệt đáng chú ý vì cho phép tạo ra nhiều nhãn hiệu ransomware khác nhau, dù hạ tầng và mã phía sau vẫn thuộc Gunra. Điều này làm tăng độ khó trong việc quy kết và theo dõi cuộc tấn công ransomware.
Nhóm vận hành còn trực tiếp tham gia vào khâu thương lượng với nạn nhân. Điều này cho thấy có một lớp điều phối trung tâm kiểm soát các phần nhạy cảm nhất của quá trình tống tiền.
Hỗ trợ đa nền tảng và thay đổi kỹ thuật
Gunra ransomware có builder hỗ trợ cả Windows và Linux. Điều này giúp affiliate tạo payload phù hợp với từng mục tiêu. Các bản build cho Windows được ghi nhận là tương đồng với mẫu trước đó, trong khi bản Linux có thay đổi ở nhiều thành phần.
Các thay đổi được nêu gồm:
- Execution parameters được cập nhật.
- Logging thay đổi.
- Encryption logic được chỉnh sửa.
- Một số phần liên quan đến cryptographic weaknesses đã được thay đổi để khắc phục điểm yếu.
Những cập nhật này cho thấy mã độc đang được tinh chỉnh liên tục, không ngừng cải thiện hiệu năng và giảm khả năng bị phân tích. Trong bối cảnh cảnh báo CVE và các chiến dịch khai thác zero-day thường xuyên xuất hiện, việc theo dõi biến thể ransomware ở cấp độ mã nguồn là cần thiết.
Phạm vi mục tiêu và rủi ro bảo mật
Gunra không áp đặt giới hạn nghiêm ngặt với loại hình tổ chức bị nhắm tới. Không có danh sách ngành bị cấm riêng, và nếu có giới hạn quốc gia thì cũng được áp dụng linh hoạt theo khu vực của affiliate. Điều này làm mở rộng rủi ro bảo mật cho nhiều tổ chức thuộc các lĩnh vực khác nhau.
Khác với một số chương trình RaaS thường tránh một số ngành nhạy cảm, Gunra không đặt ra quy tắc cứng như vậy. Vì thế, phạm vi hệ thống bị tấn công có thể mở rộng nhanh khi số lượng affiliate tăng lên.
Với mô hình white-label, các tên ransomware mới có thể xuất hiện dù thực chất vẫn là Gunra “ẩn dưới lớp vỏ” khác. Đây là yếu tố làm phức tạp việc phát hiện tấn công và phân tích liên kết giữa các chiến dịch.
Hoạt động trên dark web và tuyển dụng affiliate
Phần lớn hoạt động của Gunra được thực hiện qua các dark web forums cho phép nội dung liên quan đến ransomware. Nhóm hạn chế quảng bá công khai và ưu tiên các không gian kiểm soát như RAMP, Rehub, Tierone và Darkforums.
Trên các diễn đàn này, họ có thể:
- Recruit affiliates.
- Hire penetration testers.
- Sell compromised data.
Việc duy trì “low profile” giúp nhóm khó bị theo dõi hơn, đồng thời phản ánh chiến lược dài hạn thay vì các đợt tấn công mạng chớp nhoáng.
Trong giai đoạn RaaS mở rộng, báo cáo cũng ghi nhận ít nhất một người dùng được cho là affiliate sau khi đăng dữ liệu từ cùng một nạn nhân với operator chính. Đây là dấu hiệu cho thấy mạng lưới đang phát triển với nhiều tác nhân bán độc lập.
IOC và dấu hiệu theo dõi
Nội dung gốc chỉ nêu phần Indicators of Compromise (IoCs) nhưng không cung cấp danh sách IP, domain hoặc hash cụ thể. Do đó, không thể trích xuất IOC định danh từ tài liệu này.
Tuy nhiên, các dấu hiệu kỹ thuật và hành vi đáng chú ý gồm:
- Hoạt động tập trung vào giờ làm việc tại châu Á.
- Hạ tầng RaaS với panel web quản trị.
- Chức năng Negotiation, Files, Lock Tool, Handler, Brand Setting.
- Phân phối qua các dark web forums.
- Biến thể hỗ trợ Windows và Linux.
Khuyến nghị giám sát và ứng phó
S2W khuyến nghị các tổ chức tăng cường quan sát hoạt động trên dark web, vì Gunra và các affiliate chủ yếu quảng cáo, tuyển dụng và trao đổi dữ liệu bị đánh cắp tại đây. Việc giám sát thường xuyên các cộng đồng liên quan đến ransomware có thể giúp phát hiện sớm tín hiệu nhắm mục tiêu vào một ngành hoặc khu vực cụ thể.
Với các tổ chức có nguy cơ cao, đặc biệt là hạ tầng quan trọng và bệnh viện, cần duy trì mức độ cảnh giác cao. Ngoài ra, nên theo dõi các thương hiệu ransomware mới có dấu hiệu trùng khớp về hạ tầng, hành vi hoặc công cụ với Gunra.
Trong bối cảnh này, an toàn thông tin không chỉ là vá lỗi hệ thống mà còn bao gồm theo dõi threat intelligence, cập nhật bản vá và kiểm soát truy cập chặt chẽ. Nguồn tham chiếu kỹ thuật bổ sung có thể xem tại CISA.
Việc xây dựng bản đồ liên kết giữa các tên gọi mới, hạ tầng dùng chung và kỹ thuật triển khai sẽ giúp đội phản ứng nhận diện chính xác hơn khi một tin tức bảo mật mới thực chất chỉ là một nhánh khác của cùng hệ sinh thái.
