2025年4月に5つの韓国企業をターゲットにした後に最初に発見されたGunraランサムウェアは、局所的な脅威から完全に確立されたRansomware-as-a-Service (RaaS)エンタープライズに変わった。
元のContiベースのコードを放棄してカスタム構築の暗号化ツールを採用することで、このシンジケートはその到達範囲を劇的に拡大し、2026年3月現在で32社の被害企業を主張している。
2025年後半の短い休止期間の後、RaaSエコシステムへのGunraの移行はその運用に新たな活力をもたらし、グローバルネットワークに対する深刻なリスクとなっている。
Gunraは主にRAMP、Rehub、Tierone、Darkforumsなどの著名なダークウェブフォーラムの影で活動している。
派手なパブリックリレーションズに頼る代わりに、このグループは低いプロフィールを維持しながら、マルウェアを展開するアフィリエイトと侵入テスターを大量に採用している。
脅威インテリジェンスは、オペレーターが08:00から10:00の間に非常にアクティブであることを示している。これはアジアのビジネス時間と一致するが、研究者たちは現在のサンプルサイズがオペレーターの物理的な場所を明確に特定するには小さすぎることに注意している。
ネットワークを構築するために、コアオペレーターはアフィリエイトが侵害されたネットワークを収益化するための収益性の高いプラットフォームを提供している。
セキュリティアナリストは最近、既知のGunra被害者に属する盗まれたデータを投稿したダークウェブユーザーを追跡することでアフィリエイトを特定した。
これはグループの間接的で分散化された攻撃主張アプローチを確認し、アフィリエイトがレーダーの下で活動できるようにしている。同時に、コアチームはバックエンドインフラストラクチャを処理している。
Gunraアフィリエイトパネルの詳細な分析は、最大限の柔軟性を実現するために設計された高度にプロフェッショナルな運用を明らかにしている。内部規則は顕著に厳格である。
病院や重要インフラストラクチャを回避する多くの現代的なランサムウェアギャングとは異なり、Gunraはターゲット業界に制限を課していない。
唯一の制限は地理的なものであり、個々のアフィリエイトの本国に基づいて柔軟に適用される。
RaaSプラットフォームは、キャンペーンをシームレスに実行および管理するための包括的なツールキットでアフィリエイトを装備している:
最新のバージョンは、更新された実行パラメーター、変更されたログ出力、および以前に特定された暗号化の脆弱性に対処するための変更された暗号化アルゴリズムを備えている。
このエスカレートする脅威に対抗するために、セキュリティチームはアフィリエイトの採用とデータ漏洩を追跡するためにダークウェブの監視を優先する必要がある。
Gunraが重要インフラストラクチャへの攻撃を許可し、アフィリエイトが自由にマルウェアをリブランドすることを許可しているため、すべてのセクターの組織はこの急速に成熟する脅威に対して高度に警戒を続ける必要がある。
翻訳元: https://cyberpress.org/gunra-expands-raas-operations/