Détection du Ransomware Gunra : Une nouvelle menace cible diverses industries à l’échelle mondiale utilisant des tactiques de double extorsion et des comportements malveillants avancés
Table des matières :
Selon Sophos, les coûts de récupération des ransomwares ont grimpé à 2,73 millions de dollars en 2024, marquant une augmentation stupéfiante de 500 % par rapport à l’année précédente et soulignant l’impact financier croissant des cyberattaques. Tandis que les ransomwares continuent de dominer le paysage des menaces, les adversaires font évoluer rapidement leurs techniques et développent de nouvelles variantes de logiciels malveillants. L’une des dernières nouveautés est Gunra, une variante de rançongiciel ciblant activement les systèmes basés sur Windows dans des secteurs tels que l’immobilier, la pharmacie et la fabrication.
Détecter les attaques de ransomware Gunra
Selon Cybersecurity Ventures, les attaques par ransomware devraient frapper toutes les deux secondes d’ici 2031, soulignant le besoin critique de détection et de défense proactive contre les menaces. Les campagnes de ransomware modernes sont de plus en plus sophistiquées, utilisant des tactiques de double extorsion qui non seulement chiffrent les données, mais aussi exfiltrent des informations sensibles pour faire pression sur les victimes afin qu’elles paient. Une de ces menaces émergentes est Gunra, qui a déjà laissé sa marque avec des attaques au Japon, en Égypte, au Panama, en Italie et en Argentine, soulignant son empreinte mondiale et sa capacité à perturber gravement les opérations commerciales dans différents secteurs.
Pour détecter les attaques potentielles contre votre organisation dès les premières étapes, la plateforme SOC Prime offre une règle Sigma dédiée aux attaques Gunra. Cliquez sur le Explore Detections bouton ci-dessous pour accéder à la règle, enrichie de CTI exploitables et soutenue par une suite complète de produits pour la détection avancée des menaces et la chasse.
Toutes les règles de la plateforme SOC Prime sont compatibles avec de multiples solutions SIEM, EDR et Data Lake et sont mappées au cadre MITRE ATT&CK®. De plus, chaque règle est accompagnée de métadonnées détaillées, incluant des références d’intelligence sur les menaces , des chronologies d’attaques, des recommandations de triage, et plus.
Optionnellement, les défenseurs du cyberespace peuvent appliquer le tag plus large « Ransomware » pour accéder à une gamme plus large de règles de détection couvrant les attaques de ransomware à l’échelle mondiale.
Les professionnels de la sécurité peuvent aussi exploiter Uncoder AI, un IDE privé et co-pilote pour l’ingénierie de détection informée par les menaces. Désormais alimenté par Llama 70B, toutes les fonctionnalités AI d’Uncoder sont 100 % gratuites et disponibles sans limites. Générez instantanément des règles de détection à partir de renseignements sur les menaces bruts, traduisez Sigma vers plus de 48 plateformes SIEM, EDR et Data Lake, prédisez automatiquement les tags MITRE ATT&CK, et validez la logique des règles avant le déploiement. Exploitez l’IA pour résumer des logiques complexes en arbres décisionnels, traduire les détections à travers 11 langages de requêtes, créer des requêtes optimisées à partir des IOC, enrichir les règles avec CTI au format Roota, et visualiser les flux d’attaque (en version bêta publique).
Analyse du Ransomware Gunra
Le groupe de ransomware Gunra a émergé en avril 2025 et est reconnu comme un acteur menaçant financièrement motivé utilisant des tactiques de double extorsion et ciblant des organisations dans divers secteurs industriels à l’échelle mondiale. Le ransomware chiffre les données des victimes tout en exfiltrant également des informations sensibles pour forcer le paiement.
Les chercheurs de CYFIRMA ont éclairé la menace émergente du rançongiciel Gunra, qui cible les systèmes Windows et est conçu avec des fonctionnalités avancées d’évasion et d’anti-analyse qui l’aident à échapper à la détection et à entraver l’analyse judiciaire.
La combinaison de la furtivité, du chiffrement et du vol de données par Gunra en fait une sérieuse menace pour les environnements basés sur Windows. Pour les capacités anti-débuggage et anti-renversement, Gunra utilise l’API IsDebuggerPresent pour détecter les outils de débogage comme x64dbg ou WinDbg et éviter l’analyse anti-malware. En ce qui concerne l’évasion de détection et l’escalade des privilèges, le rançongiciel exploite GetCurrentProcess et TerminateProcess pour manipuler les processus, élever les privilèges, et injecter du code malveillant dans d’autres processus en cours d’exécution et logiciels de sécurité. Il utilise également la fonction FindNextFileExW pour rechercher et cibler des fichiers avec des extensions comme .docx, .pdf, .xls, .jpg.
Le processus d’infection commence par la création d’un processus nommé « gunraransome.exe » visible dans le Gestionnaire de tâches, suivi de la suppression des copies de l’ombre à l’aide de l’outil WMI. De plus, Gunra chiffre les fichiers et ajoute l’extension « .ENCRT » à chaque nom de fichier et dépose une note de rançon intitulée « R3ADM3.txt » dans chaque répertoire. Cette dernière explique aux victimes comment récupérer leurs fichiers et payer la rançon, l’objectif principal étant le gain financier. Il est également indiqué que les informations sensibles ont non seulement été chiffrées mais aussi exfiltrées. Les victimes doivent contacter via une adresse .onion désignée sur le réseau Tor dans les cinq jours. Le message inclut des tactiques d’extorsion typiques, telles que proposer une décryption gratuite de quelques fichiers, mettre en garde contre les tentatives de récupération manuelles, et menacer de publier les données volées sur des forums clandestins si la rançon n’est pas payée.
Le ransomware Gunra démontre une sophistication croissante dans le paysage moderne des cybermenaces en utilisant des tactiques de double extorsion et des techniques avancées d’anti-analyse visant à perturber les opérations et forcer le paiement pour la décryption. En tant que mesures potentielles d’atténuation contre le ransomware Gunra, il est conseillé aux organisations d’effectuer des sauvegardes régulières, de restreindre les privilèges administratifs, et d’utiliser une segmentation du réseau pour limiter la surface d’attaque, tandis que la surveillance de l’activité WMI et l’application de vérifications de l’intégrité des fichiers peuvent encore minimiser les risques d’intrusions. la plateforme SOC Prime offre une suite complète de produits qui fusionne l’IA, l’automatisation et l’intelligence des menaces en temps réel pour aider les organisations progressistes à anticiper les menaces émergentes et contrecarrer les cyberattaques de plus en plus sophistiquées.