Selon PolySwarm (blog), le groupe à l’origine du ransomware Gunra étend son opération au-delà de Windows avec une variante Linux axée sur la rapidité d’exécution et l’efficacité, observée avec un impact sur plusieurs secteurs (santé, gouvernement, fabrication) à l’échelle mondiale.

• Aperçu de la menace: La variante Linux met l’accent sur la vitesse de chiffrement plutôt que sur la négociation immédiate, omettant la note de rançon pour maximiser la disruption. Elle cible plusieurs secteurs et s’inscrit dans une stratégie cross‑platform.

• Capacités clés (Linux) 🐧:

  • Multithreading configurable jusqu’à 100 threads parallèles, géré par une fonction dédiée avec boucles de polling de 10 ms ⚙️.
  • Chiffrement partiel configurable permettant de contrôler le degré de corruption par fichier.
  • Ciblage granulaire des fichiers via arguments runtime (chemins, extensions) et parcours récursif des répertoires tout en évitant la ré‑chiffrement des fichiers marqués par l’extension « .ENCRT ».
  • Gestion des périphériques bloc via le flag « –exts=disk ».
  • Stockage des clés dans des keystores séparés avec chiffrement RSA.
  • Omission de la note de rançon côté Linux pour accélérer l’opération.

• Différences vs Windows: Contrairement à la version Windows, la déclinaison Linux ne dépose pas de note de rançon, ce qui traduit une priorité donnée au chiffrement rapide plutôt qu’à l’orchestration de la négociation.

• Portée et impact: L’activité est signalée à l’international avec des cibles dans la santé, le secteur public et la manufacture, soulignant une extension stratégique des opérations au-delà des environnements Windows.

• TTPs observés:

  • Chiffrement multi‑thread (jusqu’à 100 threads) avec polling 10 ms
  • Chiffrement partiel configurable par fichier
  • Ciblage par arguments (paths, extensions), traversal récursif
  • Évitement de la ré‑chiffrement via détection « .ENCRT »
  • Gestion de périphériques bloc via « –exts=disk »
  • Keystores séparés avec clés chiffrées en RSA
  • Absence de note de rançon sur Linux pour maximiser la vitesse

Cet article est une analyse de menace axée sur la description technique et opérationnelle de la variante Linux de Gunra, visant à informer sur ses capacités et sa portée.

🧠 TTPs et IOCs détectés

TTPs

Chiffrement multi-thread, Chiffrement partiel configurable, Ciblage par arguments, Traversal récursif, Évitement de la ré-chiffrement, Gestion de périphériques bloc, Keystores séparés avec clés chiffrées en RSA, Absence de note de rançon sur Linux

IOCs

Non spécifié dans l’analyse

🔗 Source originale : https://blog.polyswarm.io/gunra-ransomware

🖴 Archive : https://web.archive.org/web/20250811215656/https://blog.polyswarm.io/gunra-ransomware