Gunra Ransomware Detection: New Threat Targets Various Industries Globally Using Double-Extortion Tactics and Advanced Malicious Behaviors
목차:
소포스에 따르면, 랜섬웨어 복구 비용이 2024년에 2.73백만 달러로 급증하였으며, 이는 전년 대비 500%의 놀라운 증가율을 기록하며 사이버 공격의 경제적 영향을 강조하고 있습니다. 랜섬웨어가 주도권을 잡고 있는 위협 환경 속에서, 적들은 빠르게 그들의 기술을 진화시키고 새로운 악성코드 변종을 개발하고 있습니다. 최근 추가된 예로는 건라(Gunra)라는 윈도우 기반 시스템을 활발히 타겟으로 하는 랜섬웨어 변종이 있으며, 부동산, 제약, 제조업 같은 산업을 대상으로 하고 있습니다. continues to dominate the threat landscape, adversaries are rapidly evolving their techniques and developing new malware variants. One of the latest additions is Gunra, a ransomware variant actively targeting Windows-based systems across industries such as real estate, pharmaceuticals, and manufacturing.
건라 랜섬웨어 공격 탐지
사이버보안 벤처스에 따르면, 랜섬웨어 공격은 2031년까지 2초마다 발생할 것으로 예상되며, 이는 능동적인 위협 탐지와 방어의 중대한 필요성을 강조합니다. 현대 랜섬웨어 캠페인은 점점 더 정교해지고 있으며, 데이터를 암호화할 뿐 아니라 민감 정보를 유출하여 피해자들에게 지불을 압박하는 이중 착취 전술을 활용하고 있습니다. 이러한 신생 위협 중 하나는 건라(Gunra)이며, 일본, 이집트, 파나마, 이탈리아, 아르헨티나에서 이미 공격을 감행하였고, 이는 글로벌 발자취와 여러 산업에서 비즈니스 운영을 심각하게 방해할 수 있는 역량을 강조합니다.
조직에 대한 잠재적인 공격을 가장 조기에 탐지하려면, SOC Prime 플랫폼 은 Gunra 공격을 다루는 전용 Sigma 규칙을 제공합니다. 아래의 탐지 탐색 버튼을 눌러 고급 위협 탐지 및 사냥을 위한 완전한 제품군으로 지원되는 실행 가능한 CTI로 강화된 규칙에 액세스하세요.
SOC Prime 플랫폼의 모든 규칙은 여러 SIEM, EDR, 데이터 레이크 솔루션과 호환되며, MITRE ATT&CK® 프레임워크에 매핑됩니다. 추가로, 각 규칙은 위협 인텔 참조, 공격 타임라인, 분류 추천 등을 포함한 상세한 메타데이터로 구성되어 있습니다.
선택적으로 사이버 수비자는 더 광범위한 랜섬웨어 공격을 다룰 수 있는 탐지 규칙 범위에 접근하기 위해 “Ransomware” 태그를 적용할 수 있습니다.
보안 전문가들은 또한 Uncoder AI, 위협 기반 탐지 엔지니어링을 위한 프라이빗 IDE & 코파일럿을 활용할 수 있습니다. 이제 Llama 70B에 의해 구동되며, Uncoder의 모든 AI 기능은 100% 무료이며 제한 없이 사용할 수 있습니다. 원시 위협 인텔리전스에서 탐지 규칙을 즉시 생성하고, Sigma를 48+ SIEM, EDR, 데이터 레이크 플랫폼에 번역하며, MITRE ATT&CK 태그를 자동 예측하고, 배포 전에 규칙 논리를 검증합니다. AI를 활용하여 복잡한 논리를 의사 결정 트리로 요약하고, 11개 쿼리 언어에 탐지를 번역하며, IOCs에서 최적화된 쿼리를 생성하고, CTI로 규칙을 룰루트 형식으로 강화하며, 공격 흐름을 시각화할 수 있습니다(공개 베타).
건라 랜섬웨어 분석
Gunra 랜섬웨어 그룹은 2025년 4월에 등장했으며, 전 세계 여러 산업 부문을 대상으로 이중 착취 전략을 사용하는 금전적 이득을 추구하는 위협 행위자로 인정받고 있습니다. 이 랜섬웨어는 피해자의 데이터를 암호화하면서도 민감한 정보를 탈취하여 지불을 강요합니다.
CYFIRMA 연구원들은 새로 등장한 건라 랜섬웨어 위협을 밝혀냈으며, 이는 윈도우 시스템을 타겟으로 하고 있으며, 탐지를 피하고 포렌식 분석을 방해할 수 있는 고급 회피 및 반분석 기능이 설계되어 있습니다.
건라의 은밀성, 암호화, 데이터 도난의 조합은 윈도우 기반 환경에 심각한 위협을 줍니다. 안티 디버깅 및 역공학 방지 기능을 위해 건라는 IsDebuggerPresent API를 사용하여 x64dbg나 WinDbg 같은 디버깅 도구를 감지하고 안티멀웨어 분석을 회피합니다. 탐지 회피 및 권한 상승의 경우, 이 랜섬웨어는 GetCurrentProcess와 TerminateProcess를 활용하여 프로세스를 조작하고, 권한을 상승시키고, 다른 실행 중인 프로세스 및 보안 소프트웨어에 해로운 코드를 주입합니다. 또한 FindNextFileExW 기능을 사용하여 .docx, .pdf, .xls, .jpg 같은 확장자를 가진 파일을 검색하고 타겟 합니다.
감염 과정은 Task Manager에서 “gunraransome.exe”라는 프로세스를 생성함으로써 시작되며, 그 후 WMI 도구를 사용하여 쉐도우 복사본을 삭제합니다. 이후, 건라는 파일을 암호화하고 각 파일 이름에 “.ENCRT” 확장자를 추가하며, 각 디렉토리마다 “R3ADM3.txt”란 제목의 랜섬 노트를 떨어뜨립니다. 후자는 피해자에게 파일 복구 방법과 몸값 지불 방법을 안내하며, 주요 목적은 금전적 이득입니다. 또한 민감한 정보는 암호화될 뿐 아니라 탈취되었다고 명시합니다. 피해자는 Tor 네트워크의 지정된 .onion 주소를 통해 5일 이내에 연락해야 한다고 지시됩니다. 메시지는 몇 가지 파일을 무료로 복호화해주는 것, 수동 복구 시도를 경고하는 것, 그리고 가격 미지불 시 도난 데이터를 지하 포럼에 게시하겠다는 위협 등 전형적인 착취 전술을 포함하고 있습니다.
건라 랜섬웨어는 현대 사이버 위협 환경에서 증가하는 복잡성을 보여주는데, 이는 이중 착취 전술과 고급 반분석 기술을 활용하여 운영을 방해하고 복호화를 위한 지불을 강요합니다. 가능한 건라 랜섬웨어 완화 조치로서 조직은 정기적인 백업을 수행하고, 관리자 권한을 제한하며, 네트워크 분할을 통해 공격 표면을 제한하는 것이 권장되며, WMI 활동을 모니터링하고 파일 무결성 검사를 강화하면 침입 위험을 더욱 최소화할 수 있습니다. SOC Prime 플랫폼 점진적인 조직이 신흥 위협을 미리 파악하고 증가하는 정교함의 사이버 공격을 저지할 수 있도록 AI, 자동화 및 실시간 위협 인텔리전스를 융합한 완전한 제품군을 선별합니다.