Gunraランサムウェアの検出：新たな脅威が世界中のさまざまな業界をターゲットにし、二重恐喝戦術と高度な悪質行動を使用

ソフォスによれば、ランサムウェアの復旧コストは2024年に2.73百万ドルに急騰し、前年から500％という驚異的な増加を記録し、サイバー攻撃の財政的影響の増大を浮き彫りにしています。なお、 ランサムウェア が脅威の情勢を支配し続ける中、攻撃者は急速に技術を進化させ、新たなマルウェアの変種を開発しています。最新の追加例として挙げられるのがGunraであり、このランサムウェア変種は、不動産、製薬、製造業などの業界でWindowsシステムを積極的に狙っています。

Gunraランサムウェア攻撃の検出

Cybersecurity Venturesによれば、ランサムウェア攻撃は2031年までに2秒ごとに発生すると予測されており、積極的な脅威の検出と防御が極めて重要であることを強調しています。現代のランサムウェアキャンペーンはますます巧妙になり、データの暗号化だけでなく、機密情報を流出させる二重恐喝戦術を活用して被害者に支払いを強要します。Gunraは日本、エジプト、パナマ、イタリア、アルゼンチンで既にその影響を見せており、そのグローバルな影響力と、業界横断的にビジネス運営を大きく妨げる能力を示しています。

組織に対する潜在的な攻撃を最初の段階で検出するためには、 SOC Primeプラットフォーム がGunra攻撃に対応した専用Sigmaルールを提供しています。以下の 検出を探す ボタンを押して、実用的なCTIで豊富になり、高度な脅威検出とハンティングのための完全な製品スイートがバックアップされたルールにアクセスしてください。

検出を探す

SOC Primeプラットフォームのすべてのルールは、複数のSIEM、EDR、データレイクソリューションに対応しており、 MITRE ATT＆CK®フレームワークにマッピングされています。さらに、各ルールには、 脅威インテル の参照、攻撃タイムライン、トリアージ推奨事項など、詳細なメタデータが含まれています。

オプションで、サイバー防御者は、グローバルにランサムウェア攻撃をカバーする幅広い検出ルールにアクセスするために、より広範な「ランサムウェア」タグを適用することができます。

セキュリティ専門家もまた、 Uncoder AIを活用することもでき、これは脅威に基づく検出エンジニアリングのためのプライベートIDE＆コパイロットです。現在、Llama 70Bによって強化され、UncoderのすべてのAI機能は100%無料で無制限に利用可能です。生の脅威インテリジェンスから即座に検出ルールを生成し、Sigmaを48以上のSIEM、EDR、およびデータレイクプラットフォームに翻訳し、MITRE ATT＆CKタグを自動予測し、展開前にルールロジックを検証します。AIを活用して複雑なロジックを決定ツリーに要約し、11のクエリ言語で検出を翻訳し、IOCから最適化されたクエリを作成し、Roota形式でCTIを用いてルールを強化し、Attack Flowsを視覚化します（パブリックベータ）。

Gunraランサムウェア分析

Gunraランサムウェアグループは2025年4月に表面化し、二重恐喝戦術を用いる金銭目的の脅威アクターとして知られており、世界中の様々な業種の組織を標的にしています。ランサムウェアは、被害者のデータを暗号化すると同時に、機密情報を流出させて支払いを強制します。

CYFIRMAの研究者 が、新たに出現したGunraランサムウェアの脅威について明らかにしており、これはWindowsシステムをターゲットにし、検出を回避しフォレンジック分析を妨げる高度な回避とアンチ分析機能を備えています。

Gunraのステルス性、暗号化、そしてデータ窃取の組み合わせは、Windowsベースの環境に対して深刻な脅威となります。アンチデバッグとアンチリバーシング機能に関しては、GunraはIsDebuggerPresent APIを使用してx64dbgやWinDbgのようなデバッグツールを検出し、アンチマルウェア解析を回避します。検出回避と権限昇格については、GetCurrentProcessとTerminateProcessを活用してプロセスを操作し、権限を昇格させ、他の動作中のプロセスやセキュリティソフトに有害なコードを注入します。また、FindNextFileExW関数を使用して.docx、.pdf、.xls、.jpgのような拡張子を持つファイルを検索してターゲットにします。

感染プロセスは、“gunraransome.exe”という名前のプロセスの作成から始まり、タスクマネージャーに表示され、その後WMIツールを使用してシャドウコピーが削除されます。さらに、Gunraはファイルを暗号化し、“.ENCRT”拡張子を各ファイル名に追加し、各ディレクトリに“R3ADM3.txt”という身代金メモをドロップします。この後者は、被害者にファイルの復元方法と身代金の支払いについて指示しており、主な目的は金銭的利益です。また、機密情報が暗号化されただけでなく流出されたことも記載されています。被害者は、Torネットワーク上の指定された.onionアドレスを通じて5日以内に連絡するよう指示されています。メッセージには、いくつかのファイルの無料復号を提供する、手動での復旧試行を警告する、身代金が支払われない場合は盗まれたデータを地下フォーラムで公開するという、典型的な恐喝戦術が含まれています。

Gunraランサムウェアは、現代のサイバー脅威の情勢において、二重恐喝戦術と高度なアンチ分析技術を活用し、業務を妨害し、復号のための支払いを強要することで、その洗練度を高めています。潜在的なGunraランサムウェアの緩和策として、組織は定期的なバックアップを実施し、管理権限を制限し、ネットワークセグメンテーションを利用して攻撃面を制限することが推奨されます。また、WMIアクティビティを監視し、ファイルの完全性チェックを強制することで、侵入のリスクをさらに最小限に抑えることができます。 SOC Primeプラットフォーム AI、自動化、リアルタイム脅威インテリジェンスを融合した完全な製品スイートをキュレートし、前進的な組織が新たな脅威を先取りし、ますます洗練されたサイバー攻撃を阻止するのに役立ちます。