Gunra Ransomware Campaign
Hace unos días se publicó una nueva campaña de ransomware llamada "gunra". Este ataque utiliza malware que se instala en el navegador para realizar ataques de phishing y luego despliega un payload que cifra los archivos del sistema.
Ataque crítico: La última versión del malware se distribuye vía email. Verifique si su organización ha sido víctima o ha sido infectada por este ataque antes de proceder con el análisis.
Resumen de la Campana
El grupo "gunra" es un actor malicioso que realiza ataques de ransomware y phishing para extorsión financiera. Su objetivo principal es la recuperación de datos mediante pagos, sin ofrecer soluciones legítimas.
Objetivos
- Cifrar los archivos del sistema y requerir pago en criptomonedas.
- Distribuir malware que se instala en el navegador para phishing masivo.
- Rastrear la cadena de suministro de amenazas usando información pública disponible.
Tacticas
La campaña utiliza múltiples tácticas con una ejecución escalonada:
- Inyección en el navegador: El malware se carga mediante un script que invoca a un dominio de phishing para obtener credenciales.
- Ejecución inicial: Una vez comprometido, el malware busca archivos críticos y los cifra con un algoritmo específico.
- Distribución en red: Los archivos cifrados se envían vía email a usuarios potencialmente afectados.
Indicadores de Compromiso (IOCs)
| Tipo | Valor/URL | Contexto |
|---|---|---|
| Malware (Código) | GitHub: gunra-ransomware | Repositorio oficial del grupo. |
| Payload (Hash) | SHA-256: |
Hash del archivo de cifrado detectado en el sistema. |
| Dominio Phishing | gunra-phishing.com | Página que se utiliza para obtener información de contacto. |
| Fingerprint (Web) | JS: document.cookie;HTML: ` |