Rilevamento Gunra Ransomware: Nuova Minaccia Mira a Vari Settori Globali Utilizzando Tattiche di Doppia Estorsione e Comportamenti Malevoli Avanzati
Indice:
Secondo Sophos, i costi di recupero dopo un attacco ransomware sono saliti a 2,73 milioni di dollari nel 2024—registrando un aumento del 500% rispetto all’anno precedente e evidenziando l’impatto finanziario crescente degli attacchi informatici. Siccome il ransomware continua a dominare il panorama delle minacce, gli avversari stanno rapidamente evolvendo le loro tecniche e sviluppando nuove varianti di malware. Una delle ultime aggiunte è Gunra, una variante di ransomware che prende di mira attivamente i sistemi basati su Windows in settori come immobiliare, farmaceutico e manifatturiero.
Rileva gli Attacchi di Gunra Ransomware
Secondo Cybersecurity Ventures, si prevede che gli attacchi ransomware colpiranno ogni due secondi entro il 2031, sottolineando la necessità critica di una rilevazione proattiva delle minacce e una difesa efficace. Le campagne di ransomware moderne sono sempre più sofisticate, sfruttando tattiche di doppia estorsione che non solo criptano i dati ma esfiltrano anche informazioni sensibili per costringere le vittime a pagare. Una di queste minacce emergenti è Gunra, che ha già segnato attacchi in Giappone, Egitto, Panama, Italia e Argentina—evidenziando la sua presenza globale e la capacità di interrompere gravemente le operazioni commerciali in vari settori.
Per rilevare potenziali attacchi contro la tua organizzazione nelle fasi iniziali, SOC Prime Platform offre una regola Sigma dedicata che affronta gli attacchi Gunra. Fai clic sul pulsante Esplora Rilevamenti qui sotto per accedere alla regola, arricchita con CTI azionabile e supportata da una suite completa di prodotti per rilevazione avanzata delle minacce e hunting.
Tutte le regole nella SOC Prime Platform sono compatibili con soluzioni multiple di SIEM, EDR e Data Lake e mappate sul framework MITRE ATT&CK®. Inoltre, ogni regola è fornita con metadati dettagliati, inclusi riferimenti di intelligence sulle minacce, cronologie degli attacchi, raccomandazioni di triage e altro ancora. references, attack timelines, triage recommendations, and more.
Facoltativamente, i difensori informatici possono applicare l’ampio tag “Ransomware” per accedere a un’ampia gamma di regole di rilevamento che coprono attacchi ransomware a livello globale.
I professionisti della sicurezza potrebbero anche sfruttare Uncoder AI, un IDE privato e co-pilota per il rilevamento delle minacce informate. Ora supportato da Llama 70B, tutte le funzionalità AI in Uncoder sono al 100% gratuite e disponibili senza limiti. Genera istantaneamente regole di rilevamento da intelligence sulle minacce grezze, traduci Sigma in oltre 48 piattaforme SIEM, EDR e Data Lake, auto-predici tag MITRE ATT&CK e valida la logica delle regole prima della distribuzione. Sfrutta l’AI per riassumere logiche complesse in alberi decisionali, traduci rilevamenti in 11 lingue di query diverse, crea query ottimizzate da IOCs, arricchisci le regole con CTI nel formato Roota, e visualizza i flussi di attacco (in beta pubblica).
Analisi del Ransomware Gunra
Il Gruppo Ransomware Gunra è emerso nell’aprile 2025 ed è riconosciuto come un attore di minacce a fini finanziari che impiega tattiche di doppia estorsione e prende di mira organizzazioni in vari settori industriali a livello globale. Il ransomware cripta i dati delle vittime mentre esfiltra anche informazioni sensibili per costringere al pagamento.
I ricercatori di CYFIRMA hanno fatto luce sulla minaccia emergente del ransomware Gunra, che prende di mira i sistemi Windows ed è progettato con avanzate funzionalità di evasione e anti-analisi che lo aiutano a sfuggire alla rilevazione e ostacolare l’analisi forense.
La combinazione di Gunra di stealth, crittografia e furto di dati lo rende una seria minaccia per gli ambienti basati su Windows. Per le capacità anti-debugging e anti-reversing, Gunra utilizza l’API IsDebuggerPresent per rilevare strumenti di debug come x64dbg o WinDbg ed evitare l’analisi anti-malware. Per quanto riguarda l’evasione della rilevazione e l’elevazione dei privilegi, il ransomware sfrutta GetCurrentProcess e TerminateProcess per manipolare processi, elevare privilegi e iniettare codice dannoso in altri processi in esecuzione e software di sicurezza. Utilizza anche la funzione FindNextFileExW per cercare e mirare ai file con estensioni come .docx, .pdf, .xls, .jpg.
Il processo di infezione inizia con la creazione di un processo chiamato “gunraransome.exe” visibile nel Task Manager, seguito dalla cancellazione delle copie ombra utilizzando lo strumento WMI. Inoltre, Gunra crittografa i file e aggiunge l’estensione “.ENCRT” a ciascun nome di file e lascia una nota di riscatto intitolata “R3ADM3.txt” in ogni directory. L’obiettivo principale è il guadagno finanziario, e istruisce le vittime su come recuperare i loro file e pagare il riscatto. Inoltre, afferma che le informazioni sensibili non sono state solo crittografate ma anche esfiltrate. Le vittime sono istruite a contattare un indirizzo .onion designato nella rete Tor entro cinque giorni. Il messaggio include tattiche di estorsione tipiche, come l’offerta di decrittazione gratuita di alcuni file, l’avvertimento contro i tentativi di recupero manuale e la minaccia di pubblicare i dati rubati sui forum underground se il riscatto non viene pagato.
Il ransomware Gunra dimostra una crescente sofisticazione nel panorama moderno delle minacce informatiche sfruttando tattiche di doppia estorsione e tecniche avanzate di anti-analisi mirate a interrompere le operazioni e a forzare il pagamento per la decrittazione. Come potenziali misure di mitigazione contro il ransomware Gunra, alle organizzazioni si consiglia di effettuare backup regolari, limitare i privilegi amministrativi e utilizzare la segmentazione della rete per limitare la superficie d’attacco, mentre il monitoraggio dell’attività WMI e l’applicazione di controlli di integrità dei file possono ulteriormente ridurre i rischi di intrusioni. SOC Prime Platform cura una suite completa di prodotti che fonde AI, automazione e intelligence sulle minacce in tempo reale per aiutare le organizzazioni all’avanguardia a rimanere un passo avanti rispetto alle minacce emergenti e sventare attacchi informatici di crescente sofisticazione.