Detecção de Ransomware Gunra: Nova Ameaça Alvo em Diversas Indústrias Globalmente Usando Táticas de Dupla Extorsão e Comportamentos Maliciosos Avançados

De acordo com a Sophos, os custos de recuperação de ransomware dispararam para US$ 2,73 milhões em 2024 — marcando um aumento impressionante de 500% em relação ao ano anterior e destacando o crescente impacto financeiro dos ciberataques. Como o ransomware continua a dominar o cenário de ameaças, os adversários estão rapidamente evoluindo suas técnicas e desenvolvendo novas variantes de malware. Uma das mais recentes adições é Gunra, uma variante de ransomware que ativamente visa sistemas baseados em Windows em indústrias como imobiliária, farmacêutica e manufatura.

Detectar Ataques de Ransomware Gunra

De acordo com a Cybersecurity Ventures, projeta-se que os ataques de ransomware ocorram a cada dois segundos até 2031, enfatizando a necessidade crítica de detecção e defesa proativa de ameaças. As campanhas modernas de ransomware são cada vez mais sofisticadas, utilizando táticas de dupla extorsão que não apenas criptografam dados, mas também exfiltram informações sensíveis para pressionar as vítimas a pagarem. Uma dessas ameaças emergentes é Gunra, que já deixou sua marca com ataques no Japão, Egito, Panamá, Itália e Argentina — destacando sua presença global e capacidade de interromper severamente as operações comerciais em várias indústrias.

Para detectar possíveis ataques contra sua organização nos estágios mais iniciais, a Plataforma da SOC Prime oferece uma regra Sigma dedicada que aborda ataques de Gunra. Clique no Explore Detectações botão abaixo para acessar a regra, enriquecida com CTI acionável e apoiada por um conjunto completo de produtos para detecção e caçadas avançadas de ameaças.

Explore Detectações

Todas as regras na Plataforma da SOC Prime são compatíveis com múltiplas soluções SIEM, EDR e Data Lake e mapeadas para o framework MITRE ATT&CK®. Além disso, cada regra é carregada com metadados detalhados, incluindo referências de inteligência de ameaças , cronogramas de ataques, recomendações de triagem e mais.

Opcionalmente, os defensores cibernéticos podem aplicar a marca “Ransomware” para acessar uma gama mais ampla de regras de detecção que cobrem ataques de ransomware globalmente.

Os profissionais de segurança também podem aproveitar o Uncoder AI, um IDE privado e co-piloto para engenharia de detecção informada por ameaças. Agora potenciado pelo Llama 70B, todos os recursos de IA no Uncoder são 100% gratuitos e estão disponíveis sem limites. Gere instantaneamente regras de detecção a partir de inteligência de ameaças bruta, traduza Sigma para 48+ plataformas SIEM, EDR e Data Lake, preveja automaticamente tags ATT&CK da MITRE e valide a lógica de regras antes da implantação. Aproveite a IA para resumir lógica complexa em árvores de decisão, traduza detecções em 11 linguagens de consulta, crie consultas otimizadas a partir de IOCs, enriqueça regras com CTI no formato Roota e visualize Fluxos de Ataque (em beta público).

Análise do Ransomware Gunra

O Grupo de Ransomware Gunra surgiu em abril de 2025 e é reconhecido como um ator de ameaças com motivação financeira que usa táticas de dupla extorsão, visando organizações em vários setores industriais ao redor do mundo. O ransomware criptografa os dados das vítimas e também exfiltra informações sensíveis para forçar o pagamento.

Pesquisadores da CYFIRMA lançaram luz sobre a ameaça emergente do ransomware Gunra, que tem como alvo sistemas Windows e é projetado com avanços em evasão e recursos anti-análise que o ajudam a contornar a detecção e dificultar a análise forense.

A combinação de furtividade, criptografia e roubo de dados do Gunra faz dele uma ameaça séria para ambientes baseados em Windows. Para capacidades anti-depuração e anti-reversão, o Gunra emprega a API IsDebuggerPresent para detectar ferramentas de depuração como x64dbg ou WinDbg e evitar a análise antimalware. Quanto à evasão de detecção e escalonamento de privilégio, o ransomware utiliza GetCurrentProcess e TerminateProcess para manipular processos, elevar privilégios e injetar código maligno em outros processos em execução e software de segurança. Ele também emprega a função FindNextFileExW para procurar e ter como alvo arquivos com extensões como .docx, .pdf, .xls, .jpg.

O processo de infecção começa com a criação de um processo chamado “gunraransome.exe” visível no Gerenciador de Tarefas, seguido pela exclusão de cópias de sombra usando a ferramenta WMI. Além disso, o Gunra criptografa arquivos e anexa a extensão “.ENCRT” a cada nome de arquivo e solta uma nota de resgate intitulada “R3ADM3.txt” em cada diretório. Esta última instrui as vítimas sobre como recuperar seus arquivos e pagar o resgate, com o objetivo principal sendo o ganho financeiro. Também afirma que informações sensíveis foram não apenas criptografadas mas também exfiltradas. As vítimas são instruídas a entrar em contato via um endereço .onion designado na rede Tor dentro de cinco dias. A mensagem inclui táticas típicas de extorsão, como oferecer a descriptografia gratuita de alguns arquivos, avisando contra tentativas de recuperação manual e ameaçando publicar os dados roubados em fóruns clandestinos se o resgate não for pago.

O ransomware Gunra demonstra crescente sofisticação no cenário moderno de ameaças cibernéticas, aproveitando táticas de dupla extorsão e técnicas avançadas de anti-análise destinadas a interromper operações e forçar o pagamento para descriptografia. Como medidas potenciais de mitigação para o ransomware Gunra, organizações são incentivadas a realizar backups regulares, restringir privilégios administrativos e usar segmentação de rede para limitar a superfície de ataque, enquanto monitorar a atividade do WMI e impor verificações de integridade de arquivos pode minimizar ainda mais os riscos de intrusões. a Plataforma da SOC Prime cura um conjunto completo de produtos que funde IA, automação e inteligência de ameaças em tempo real para ajudar organizações progressistas a se manterem à frente das ameaças emergentes e evitar ataques cibernéticos de crescente sofisticação.