Gunraランサムウェア、Conti Lockerからの移行後にRaaSを拡大

Gunraランサムウェアは、Contiベースのロッカーから独自のRansomware-as-a-Service（RaaS）モデルへシフトした後、より構造化され危険なサイバー犯罪活動へと急速に進化しています。

2025年4月に初めて発見されたこのグループは、当初は少数の被害者を狙っていましたが、最近の運用上の変更により、複数の業界にわたるリーチと影響力が大幅に増加しています。

Gunraは南韓国の5つの企業を攻撃した直後に注目を集めました。初期段階では、このグループはContiベースのランサムウェア変種に依存していました。これは、多くの脅威アクターが再利用してきた以前にリークされたContiのソースコードとの関係を示唆しています。

しかし、Gunraはその後、独自のランサムウェアペイロードを開発することで、完全に独立した運用へと移行しました。

このシフトは、このグループがRaaSモデルを採用し、身代金支払いの一部と引き換えに関連会社がそのツールを使用することを可能にしたことと一致しています。

2026年3月9日現在、少なくとも32の組織がGunraランサムウェア攻撃の被害者として確認されています。

2025年下半期の活動は鈍化しましたが、RaaSエコシステムへの進出により、攻撃の顕著な再起が起こっており、関連会社の採用とスケーリングの成功を示唆しています。

S2Wの研究分析により、午前8時から午前10時の間の一貫した活動ウィンドウが明らかになり、アジアの一部の標準的なビジネス時間と一致しています。しかし、データが限定的であるため、特定の地理的起源の特定は結論が出ていません。

Gunraは公の認知度を低く保ち、過度なプロモーションを避けています。代わりに、ランサムウェアの活動が正常化されている確立されたダークウェブコミュニティ内で運用しています。このグループはRAMP、Rehub、Tierone、Darkforumsなどのフォーラムで観察されています。

これらのプラットフォーム内で、GunraはそのRaaSプログラムを宣伝し、関連会社とペネトレーションテスターを採用し、侵害された組織から盗まれたデータを販売しています。

少なくとも1つのケースでは、ユーザーがオペレーターと同じ被害者からのデータを投稿していており、これはエコシステム内での調整の存在を示唆し、確認しています。

Gunraランサムウェア

多くのRaaSグループとは異なり、Gunraの関連会社は彼らの関係を公に宣言しません。しかし、共有された被害者データなどの間接的な証拠により、オペレーターと関連会社との間の協力を確認しています。

Gunraランサムウェアインフラストラクチャへの追加の洞察は、機能豊富な関連会社パネルを明かしています。このプラットフォームには、交渉、ファイル管理、ペイロード展開（ロックツール）、ハンドラー通信、およびブランドカスタマイズ機能が含まれています。

特に、Gunraは関連会社が独自のランサムウェアブランドの下で操作することを許可しており、異なる名前の下での新しい変種の出現の可能性を高めています。

オペレーターは身代金交渉でも積極的な役割を果たしており、攻撃ライフサイクルの重要な段階に対する集約的な制御を示しています。

このグループは対象業界に厳密なルールを強制しません。また、地理的ターゲットの制限は柔軟性があり、関連会社の場所に依存する可能性があり、広範で無分別な攻撃のリスクを増加させています。

GunraのランサムウェアビルダーはWindowsとLinux環境の両方をサポートしており、多様なインフラストラクチャをターゲットにする能力を強調しています。

Windows変種は以前に分析されたサンプルと一貫していますが、Linuxバージョンは注目すべき変更を示しています。

これには、実行パラメーター、ログ機能、および暗号化メカニズムへの変更が含まれます。

研究者らはLinux実装の一部で暗号化の弱点も特定しており、防御分析または復号化の取り組みに活用される可能性があります。

セキュリティ専門家は、Gunraの拡大するRaaSモデルと対象制限の欠如により、警戒心を高めることを推奨しています。

医療などの重要なセクターを避ける他のランサムウェアグループとは異なり、Gunraはそのような制限を課しません。

その柔軟な関連会社構造と組み合わせて、これは潜在的な攻撃面と全体的な脅威レベルを増加させます。

組織はまた、新しいランサムウェア変種を監視する必要があります。Gunraのブランド柔軟性により、関連会社は異なるアイデンティティの下でキャンペーンを開始することができ、検出と属性をより困難にしています。