Gunra ransomware
Trend Micro jelentése szerint a Gunra zsarolóprogram új, Linux-kompatibilis variánsa már 2025 júliusában is aktív – ez egy jelentős váltást jelent a ransomware csoportok között, mivel a Linux és Windows operációs rendszerek közötti átjárhatóság növeli az elérhető célpontok körét. A Linux változat technikailag fejlett, akár száz párhuzamos titkosítási szálat is képes futtatni, támogatja a fájlok részleges titkosítását, és külön RSA kulcspuffert használ a kulcsok elmentéséhez. A titkosított állományok .ENCRT kiterjesztést kapnak, és a payload nem helyez el külön váltságdíjas üzenetet – teljes mértékben kihasználja a gyors, automatizált titkosítást.
A Gunra csoport először 2025 áprilisában bukkant fel Windows-alapú kampányokkal, ám mára már több országban – Brazília, Japán, Kanada, Törökország, Dél‑Korea, Taiwan és az Egyesült Államok – működtek a támadások, főként egészségügyi, gyártóipari, IT és ügyvédi/konzultációs szektorokban. A szereplők célpontjai között kormányzati szervezetek is szerepeltek, és a csoport adatlopás útján double‑extortion módot is alkalmazott, legalább 14 áldozatról számolt be, többek között egy dubaji kórházzal kapcsolatos 40 terabájtos kiszivárgás is ismert.
A technikai elemzés kiemeli, hogy a Linux változat futtatható különböző paraméterekkel, ami lehetővé teszi a támadók számára testreszabott és gyors futtatást, minimalizálva az azonosítást.
