Nhóm tội phạm mạng Gunra đã mở rộng đáng kể phạm vi tấn công của mình, vượt ra ngoài các hệ thống Windows PC truyền thống, với việc phát hành phiên bản Linux của loại mã độc ransomware này. Biến thể mới, được phát hiện lần đầu vào tháng 4 năm 2025, đánh dấu một bước leo thang quan trọng trong hệ sinh thái ransomware, phản ánh chiến lược chuyển hướng sang việc nhắm mục tiêu đa nền tảng, tương tự như các biến thể ransomware trước đây như Conti.
Phân tích chiến lược mở rộng tấn công của Gunra
Bộ phận tình báo mối đe dọa của Trend Micro đã theo dõi chặt chẽ các hoạt động của Gunra trên nhiều doanh nghiệp ở các quốc gia như Brazil, Nhật Bản, Canada, Thổ Nhĩ Kỳ, Hàn Quốc, Đài Loan và Hoa Kỳ. Các lĩnh vực bị ảnh hưởng bao gồm sản xuất, chăm sóc sức khỏe, công nghệ thông tin (IT), nông nghiệp, luật và tư vấn.
Các sự cố đáng chú ý bao gồm cáo buộc đánh cắp và rò rỉ 40 terabyte dữ liệu từ một bệnh viện ở Dubai vào tháng 5 năm 2025. Nhóm này cũng đã có những nỗ lực tấn công các thực thể chính phủ và các ngành công nghiệp quan trọng như vận tải. Với 14 nạn nhân đã được công bố trên trang rò rỉ dữ liệu của mình kể từ khi ra đời, Gunra cho thấy khả năng lây lan nhanh chóng và mức độ hoạt động đáng báo động của mã độc ransomware.
Khám phá biến thể Linux của Gunra và Các Chỉ báo Bị xâm phạm
Biến thể Linux của Gunra được phân tích sâu bởi Trend Vision One. Nền tảng này tích hợp khả năng phát hiện các Chỉ báo bị xâm phạm (IOC) tiên tiến, cho phép chặn chủ động các mối đe dọa và cung cấp các truy vấn săn lùng, thông tin chuyên sâu về mối đe dọa, cùng các báo cáo tình báo. Điều này giúp tăng cường nhận thức tình huống và hỗ trợ các tổ chức phản ứng nhanh chóng với các cuộc tấn công mạng do mã độc ransomware gây ra.
Yêu cầu về tham số và cơ chế mã hóa
Payload của Gunra trên Linux yêu cầu các đối số (argument) khi chạy để hoạt động. Nếu thiếu, nó sẽ hiển thị hướng dẫn sử dụng và nhắc nhở người dùng nhập các thông số cần thiết để đảm bảo thực thi liền mạch. Điều này cho thấy khả năng tùy chỉnh cao của mã độc ransomware này.
Các nhật ký console cung cấp chi tiết về các hoạt động của nó, cho thấy một cơ chế mã hóa đa luồng có thể cấu hình được, với khả năng chạy tới 100 luồng song song. Đây là một bước tiến vượt trội so với các loại ransomware điển hình như BERT, vốn chỉ giới hạn ở 50 luồng. Khả năng cấu hình này được xác định bởi số lượng bộ xử lý khả dụng hoặc các cài đặt cụ thể.
Quá trình này sử dụng một vòng lặp đồng bộ hóa, thăm dò mỗi 10 mili giây, và sẽ tạm dừng quá trình kết thúc cho đến khi tất cả các luồng hoàn thành thông qua hàm spawn_or_wait_thread. Hàm này đảm bảo giới hạn số lượng luồng trong quá trình mã hóa tệp, tối ưu hóa hiệu suất đồng thời gây khó khăn cho việc khôi phục dữ liệu bị mã hóa bởi mã độc ransomware.
Định hướng mục tiêu và cơ chế mã hóa file
Để nhắm mục tiêu, Gunra yêu cầu các đường dẫn và phần mở rộng cụ thể. Tham số “all” sẽ mã hóa tất cả các tệp mà không phân biệt, trong khi danh sách được phân tách bằng dấu phẩy cho phép tập trung vào các phần mở rộng đã chọn. Quá trình này bao gồm việc duyệt đệ quy các thư mục con, bỏ qua các tệp đã được mã hóa (được xác định bằng hậu tố .ENCRT), trừ khi các thiết bị khối được chỉ định rõ ràng bằng –exts=disk.
Mã hóa tạo ra các luồng làm việc gọi hàm hybrid_encrypt_file, đổi tên đầu ra với hậu tố .ENCRT và tùy chọn bỏ qua việc tạo ghi chú đòi tiền chuộc để hoạt động một cách lén lút. Điều này làm cho việc phát hiện và phản ứng trước mã độc ransomware trở nên phức tạp hơn.
Thuật toán mã hóa lai và tùy chỉnh
Về cốt lõi, biến thể Gunra Linux tận dụng một thuật toán lai, kết hợp mã hóa khóa công khai RSA từ một tệp PEM được cung cấp với thuật toán mã hóa luồng đối xứng ChaCha20. Thuật toán lai này là một chiến thuật ngày càng phổ biến trong các cuộc tấn công của mã độc ransomware.
Nó tạo ra một khóa ChaCha20 32 byte, một nonce 12 byte và một lớp đệm 256 byte, mã hóa các thành phần này thông qua RSA trước khi áp dụng ChaCha20 theo các khối 1MB. Mã hóa một phần có thể được điều chỉnh thông qua các tham số –ratio và –limit, cho phép kẻ tấn công kiểm soát mức độ mã hóa để tối ưu hóa hiệu suất. Tùy chọn –store giúp phân tách các khối được mã hóa bằng RSA vào các tệp kho khóa riêng biệt thay vì nối chúng vào tệp đã mã hóa. Sự linh hoạt này giúp tăng tốc các hoạt động và làm phức tạp quá trình khôi phục, khẳng định Gunra là một sự phát triển mạnh mẽ trong các chiến thuật ransomware. Để biết thêm chi tiết kỹ thuật về biến thể này, bạn có thể tham khảo báo cáo từ Trend Micro: Gunra Ransomware Linux Variant.
Đánh giá tác động và chiến lược phòng thủ
Sự thích nghi với Linux này là một minh chứng rõ ràng cho xu hướng mã độc ransomware hướng tới các mối đe dọa không phụ thuộc nền tảng, làm tăng số lượng nạn nhân tiềm năng bằng cách xâm nhập vào các môi trường đa dạng. Bằng cách ưu tiên mã hóa nhanh chóng, có thể cấu hình và không cần ghi chú đòi tiền chuộc, Gunra tập trung vào việc gây gián đoạn hơn là đàm phán, từ đó làm tăng rủi ro cho các cơ sở hạ tầng phụ thuộc vào Linux.
Để chống lại các vector tấn công như vậy, các tổ chức cần áp dụng các biện pháp phòng thủ đa lớp nhằm tăng cường an ninh mạng. Điều này bao gồm:
- Thực hiện kiểm kê tài sản và đánh giá lỗ hổng định kỳ.
- Thực thi quản lý cấu hình chặt chẽ trên các thiết bị mạng.
- Áp dụng các bản vá kịp thời hoặc sử dụng vá lỗi ảo (virtual patching) để khắc phục các lỗ hổng đã biết.
- Tích hợp các công cụ phát hiện dựa trên trí tuệ nhân tạo (AI-driven detection tools) để nhận diện các hoạt động độc hại của mã độc ransomware.
Việc đào tạo nhân viên thường xuyên, các buổi diễn tập nhóm đỏ (red-team simulations) và kiểm thử xâm nhập (penetration testing) cũng góp phần củng cố khả năng phục hồi chống lại Gunra và các mối đe dọa tương tự, đảm bảo giảm thiểu rủi ro chủ động trong bối cảnh an ninh mạng luôn thay đổi.
