Source: The Raven File — enquête publiée fin septembre 2025 après quatre mois d’analyse sur le groupe de ransomware Gunra. Le billet centralise l’historique, l’infrastructure (DLS, négociations), l’analyse d’échantillons Windows/Linux, les TTP MITRE et des IOC.

• Victimologie et ciblage: Gunra opère une double extorsion, affiche ses victimes sur un Data Leak Site (DLS) et a ajouté 18 victimes entre avril et septembre 2025. Les pays les plus touchés incluent Corée du Sud, Brésil, Japon, Canada, E.A.U., Égypte, Panama, ainsi que Colombie, Nicaragua, Croatie, Italie. À date, aucune victime américaine; seul pays anglophone ciblé: Canada. Secteurs: manufacturing, santé, technologie, services, finance. L’auteur avance des hypothèses sur l’absence de cibles US.

• Opérations et infrastructure: Initial access principalement par phishing (ex. thème Microsoft). Négociations via un portail au thème WhatsApp avec backend Slack, Captcha et ClientID. DLS sur Tor, plusieurs révisions et un passage temporaire en clear web (datapub.news) chez BlackHost (IP 86.54.28.216), ensuite suspendu; le site Tor reste actif. Utilisation de BashUpload pour partager outils/fuites; support TOX ajouté. Exigences de rançon variables (ex. $10M→$7M, $1M, 13 BTC, jusqu’à $20M puis $70K accepté). Le groupe revendique accès à des fichiers internes et Office 365. Chiffrement à haut débit: 9 To en 2 jours (~52 Mo/s) avec Salsa20/ChaCha20.

• Analyse d’échantillons: Binaires Windows (MSVC) et Linux (ELF64, GCC 14.2); extension ajoutée .ENCRT; note R3ADM3.txt (héritage de Conti). Traces et chevauchements de code initiaux avec Conti et Akira, mais versions récentes jugées propres au groupe. Suppression de Volume Shadow Copy (WMI query partagée avec LockBit 4.0, Conti, etc.), encodages XOR/Base64, hash murmur2, mutex kjsidugiaadf99439, chemin PDB « D:\wrk\tool\encrypter\x64\Debug\encrypter.pdb », LTCG sur certains exécutables. Présence de routines du DoNoT Loader embarquées; YARA fournie par l’auteur. Usage de Lumma Stealer mentionné. Dans une fuite, un installateur ConnectWise/ScreenConnect est fortement détecté (PUA/HackTool/Trojan) par de multiples AV.

• Ransom note et DLS: Note en anglais et espagnol, instruction d’accès Tor, menace de publication après 5 jours, et URL de publication DLS. Le DLS propose une recherche par industrie et un client login protégé par ClientID; des évolutions successives des domaines oignon et du portail sont documentées.

IOC et TTPs

  • TOR/Domains: gunrabxbig445sjqa535uaymzerj6fp4nwc6ngc2xughf2pedjdhk4ad.onion; apdk7hpbbquomgoxbhutegxco6btrz2ara3x2weqnx65tt45ba3sclyd.onion; jzbhtsuwysslrzi2n5is3gmzsyh6ayhm7jt3xowldhk7rej4dqqubxqd.onion; vrlgjxbl6yroq26xkcjpafgmmxrlpawvr4agppna6apfxjxav2mq66ad.onion; 2bw7r32r5eshwk2h7uekj3lwzorxds2jyhyzqyilphid3r27x5hsf4yd.onion; r3tkfu3h7sx4k6n7mr7ranuk5godwz7vlgvv2dk2fs2cbma5nailigad.onion
  • URLs: https://bashupload.com/0OoOe/tool.7z; https://bashupload.com/FOIGR/email.7z; https://datapub.news
  • IP: 86.54.28.216 (hébergement du site clear web « datapub.news » au moment de l’observation)
  • Emails: ilovemycubscout@gmail.com; a00f105546345756@proton.me
  • TOX ID: 2507312E…E0208D05133A8FB22
  • MD5 (échantillons/artefacts): 9a7c0adedc4c68760e49274700218507; 7dd26568049fac1b87f676ecfaac9ba0; ae6f61c0fc092233abf666643d88d0f3; f6664f4e77b7bcc59772cd359fdf271c; 8d47d8a5d6e25c96c5e7c7505d430684; 3178501218c7edaef82b73ae83cb4d91; 94b68826818ffe8ceb88884d644ad4fc; 4c0e74e9f94dff611226cd1619cb1e1d
  • MITRE ATT&CK (sélection telle que listée): TA0001–TA0043 (y compris Mobile); T1003, T1005, T1014, T1027, T1027.002, T1027.005, T1036, T1047, T1055, T1057, T1063, T1071, T1081, T1082, T1083, T1119, T1129, T1143, T1176, T1185, T1486, T1490, T1496, T1518, T1539, T1542, T1542.003, T1548, T1552, T1552.001, T1555, T1555.003, T1564, T1564.001, T1574, T1574.002, T1090.

Type d’article: analyse de menace publiée dans un billet de recherche; objectif principal: documenter l’infrastructure, les techniques et les indicateurs de compromission du groupe Gunra pour suivi et attribution.

🧠 TTPs et IOCs détectés

TTP

[‘TA0001’, ‘TA0002’, ‘TA0003’, ‘TA0004’, ‘TA0005’, ‘TA0006’, ‘TA0007’, ‘TA0008’, ‘TA0009’, ‘TA0010’, ‘TA0011’, ‘TA0043’, ‘T1003’, ‘T1005’, ‘T1014’, ‘T1027’, ‘T1027.002’, ‘T1027.005’, ‘T1036’, ‘T1047’, ‘T1055’, ‘T1057’, ‘T1063’, ‘T1071’, ‘T1081’, ‘T1082’, ‘T1083’, ‘T1119’, ‘T1129’, ‘T1143’, ‘T1176’, ‘T1185’, ‘T1486’, ‘T1490’, ‘T1496’, ‘T1518’, ‘T1539’, ‘T1542’, ‘T1542.003’, ‘T1548’, ‘T1552’, ‘T1552.001’, ‘T1555’, ‘T1555.003’, ‘T1564’, ‘T1564.001’, ‘T1574’, ‘T1574.002’, ‘T1090’]

IOC

{‘domains’: [‘gunrabxbig445sjqa535uaymzerj6fp4nwc6ngc2xughf2pedjdhk4ad.onion’, ‘apdk7hpbbquomgoxbhutegxco6btrz2ara3x2weqnx65tt45ba3sclyd.onion’, ‘jzbhtsuwysslrzi2n5is3gmzsyh6ayhm7jt3xowldhk7rej4dqqubxqd.onion’, ‘vrlgjxbl6yroq26xkcjpafgmmxrlpawvr4agppna6apfxjxav2mq66ad.onion’, ‘2bw7r32r5eshwk2h7uekj3lwzorxds2jyhyzqyilphid3r27x5hsf4yd.onion’, ‘r3tkfu3h7sx4k6n7mr7ranuk5godwz7vlgvv2dk2fs2cbma5nailigad.onion’, ‘https://bashupload.com/0OoOe/tool.7z’, ‘https://bashupload.com/FOIGR/email.7z’, ‘https://datapub.news’], ‘ip’: [‘86.54.28.216’], ’emails’: [‘ilovemycubscout@gmail.com’, ‘a00f105546345756@proton.me’], ’tox_id’: [‘2507312E…E0208D05133A8FB22’], ‘md5’: [‘9a7c0adedc4c68760e49274700218507’, ‘7dd26568049fac1b87f676ecfaac9ba0’, ‘ae6f61c0fc092233abf666643d88d0f3’, ‘f6664f4e77b7bcc59772cd359fdf271c’, ‘8d47d8a5d6e25c96c5e7c7505d430684’, ‘3178501218c7edaef82b73ae83cb4d91’, ‘94b68826818ffe8ceb88884d644ad4fc’, ‘4c0e74e9f94dff611226cd1619cb1e1d’]}

🔗 Source originale : https://theravenfile.com/2025/09/23/gunra-ransomware-what-you-dont-know/