Ransomware Gunra
.jpg?v=1781807142)
El grupo de ransomware conocido como Gunra ha estado detrás de varios ataques desde abril del 2025 y ha llamado la atención por usar técnicas avanzadas de encriptación y exfiltración inspiradas en el grupo de ransomware Conti. Actualmente, el 44% de sus ataques han sido dirigidos a empresas latinoamericanas, abarcando países como: Colombia, Nicaragua, Brasil, Argentina y Panamá. Estos ataques han afectado a diferentes industrias como tecnología, cuidado de la salud, manufacturera y finanzas. Sus capacidades de evasión les permiten ocultar sus actividades maliciosas, evitar sistemas de detección basados en reglas, usar métodos de cifrado robustos, exigir rescates y amenazar con publicar los datos robados en su sitio de filtraciones si no se llega a un acuerdo en 5 días.
Sitio de filtraciones del ransomware Gunra [1]
Cuando el ransomware Gunra infecta un sistema Windows, cifra los archivos y les añade la extensión “.ENCRT” al final del nombre. Además, deja una nota de rescate en cada carpeta llamada "R3ADM3.txt", donde explica a las víctimas cómo recuperar sus archivos y cómo pagar el rescate.
Nota de rescate del ransomware Gunra [2]
Desde finales de julio del 2025, se ha observado que el grupo Gunra ha ampliado sus objetivos y creado una versión para Linux que permite ajustar cuántos hilos usan para el cifrado, hasta un máximo de 100, y Gunra puede aprovecharlos todos. En ataques de otros grupos también suelen usar varios hilos para cifrar, pero generalmente es un número fijo, como por ejemplo 50 hilos al mismo tiempo, y depende de cuántos procesadores tenga la computadora de la víctima. Además, esta variante permite a los atacantes controlar qué porcentaje de cada archivo se cifra. A diferencia de la versión para Windows, esta no deja una nota de rescate, sino que se enfoca únicamente en un cifrado rápido y configurable, incluyendo la opción de guardar las claves RSA cifradas en archivos separados.
Taxonomía MITRE ATT&CK
|
Táctica |
ID |
Nombre |
|
Execution |
T1047 |
Windows Management Instrumentation |
|
T1129 |
Shared Modules |
|
|
Persistence |
T1176 |
Software Extensions |
|
T1542 |
Pre-OS Boot |
|
|
T1542.003 |
Bootkit |
|
|
T1574 |
Hijack Execution Flow |
|
|
T1574.002 |
DLL Side-Loading |
|
|
Privilege Escalation |
T1055 |
Process Injection |
|
T1548 |
Abuse Elevation Control Mechanism |
|
|
T1574 |
Hijack Execution Flow |
|
|
T1574.002 |
DLL Side-Loading |
|
|
Defense Evasion |
T1014 |
Rootkit |
|
T1027 |
Obfuscated Files or Information |
|
|
T1027.002 |
Software Packing |
|
|
T1027.005 |
Indicator Removal from Tools |
|
|
T1036 |
Masquerading |
|
|
T1055 |
Process Injection |
|
|
T1143 |
Hidden Window |
|
|
T1542 |
Pre-OS Boot |
|
|
T1542.003 |
Bootkit |
|
|
T1548 |
Abuse Elevation Control Mechanism |
|
|
T1564 |
Hide Artifacts |
|
|
T1564.001 |
Hidden Files and Directories |
|
|
T1574 |
Hijack Execution Flow |
|
|
T1574.002 |
DLL Side-Loading |
|
|
Credential Access |
T1003 |
OS Credential Dumping |
|
T1081 |
Credentials in Files |
|
|
T1539 |
Steal Web Session Cookie |
|
|
T1552 |
Unsecured Credentials |
|
|
T1552.001 |
Credentials in Files |
|
|
T1555 |
Credentials from Password Stores |
|
|
T1555.003 |
Credentials from Web Browsers |
|
|
Discovery |
T1057 |
Process Discovery |
|
T1063 |
Security Software Discovery |
|
|
T1082 |
System Information Discovery |
|
|
T1083 |
File and Directory Discovery |
|
|
T1518 |
Software Discovery |
|
|
Collection |
T1005 |
Data from Local System |
|
T1119 |
Automated Collection |
|
|
T1185 |
Browsers Session Hijacking |
|
|
Command-and-control |
T1071 |
Applications Layer Protocol |
|
T1090 |
Proxy |
|
|
Impact |
T1486 |
Data Encrypted from Impact |
|
T1490 |
Inhibit System Recovery |
|
|
T1496 |
Resource Hijacking |
Indicadores de compromiso
|
IOC |
Tipo |
|
844e3b0d066e7da30e704be770c26e5e |
FileHash-MD5 |
|
be6ee00fa5284ee4237f877f4bd5cfa871fdc6ef |
FileHash-SHA1 |
|
91f8fc7a3290611e28a35a403fd815554d9d856006cc2ee91ccdb64057ae53b0 |
FileHash-SHA256 |
|
7dd26568049fac1b87f676ecfaac9ba0 |
FileHash-MD5 |
|
8d47d8a5d6e25c96c5e7c7505d430684 |
FileHash-MD5 |
|
94b68826818ffe8ceb88884d644ad4fc |
FileHash-MD5 |
|
9a7c0adedc4c68760e49274700218507 |
FileHash-MD5 |
|
ae6f61c0fc092233abf666643d88d0f3 |
FileHash-MD5 |
|
f6664f4e77b7bcc59772cd359fdf271c |
FileHash-MD5 |
|
0c3c878b678c7254446e84cca6f0d63caeb51880 |
FileHash-SHA1 |
|
77b294117cb818df701f03dc8be39ed9a361a038 |
FileHash-SHA1 |
|
79e19d3d8405425735e4b3cd36a8507d99dfee20 |
FileHash-SHA1 |
|
8404521cf2a53de3459a75ff946873c43211afb6 |
FileHash-SHA1 |
|
912217b09b13e1e53f7f26335f7f84b3c3918491 |
FileHash-SHA1 |
|
bb79502d301ba77745b7dbc5df4269fc7b074cda |
FileHash-SHA1 |
|
22c47ec98718ab243f2f474170366a1780368e084d1bf6adcd60450a9289e4be |
FileHash-SHA256 |
|
5530363373dfe8fa474c9394184d2c56a0682c6a178d6f1c3536a1a3796dff42 |
FileHash-SHA256 |
|
76f13279f2ea05c8895394f57b71716847857d2beac269272375ce8a71c80e40 |
FileHash-SHA256 |
|
854e5f77f788bbbe6e224195e115c749172cd12302afca370d4f9e3d53d005fd |
FileHash-SHA256 |
|
944a1a411abb97f9ae547099c4834beb49de0745740ba450efb747bd62d8d83b |
FileHash-SHA256 |
|
a82e496b7b5279cb6b93393ec167dd3f50aff1557366784b25f9e51cb23689d9 |
FileHash-SHA256 |
Versiones Afectadas
Recomendaciones
-
Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para detectar ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
- Subhra, T. (2025, Julio 15). New Gunra Ransomware Attacking Windows Computers to Encrypt Files and Deletes Shadow Copies. Cyber Security News. Recuperado el 19 de Agosto de 2025, en: https://cybersecuritynews.com/new-gunra-ransomware-attacking-windows-computers/
- Trendmicro. (2025, Julio 29). Gunra Ransomware Group Unveils Efficient Linux Variant. Recuperado el 19 de Agosto de 2025, en: https://www.trendmicro.com/en_us/research/25/g/gunra-ransomware-linux-variant.html
- Cyfirma. (2025, Mayo 3). Gunra Ransomware – A Brief Analysis. Recuperado el 19 de Agosto de 2025, en: https://www.cyfirma.com/research/gunra-ransomware-a-brief-analysis/
