O grupo de ransomware Gunra demonstrou uma evolução significativa em suas operações, migrando de um modelo baseado em um locker antigo para um modelo de Ransomware as a Service (RaaS) maduro. Inicialmente observado em abril de 2025, o grupo começou atacando cinco empresas na Coreia do Sul, mas rapidamente escalou para dezenas de organizações em menos de um ano.
Evolução do modelo de ataque
Os operadores do Gunra inicialmente utilizavam um código baseado no Conti, uma família de ransomware notória. No entanto, a dependência de código legado limitava a personalização e a flexibilidade das operações. A transição para um modelo RaaS próprio permitiu ao grupo desenvolver suas próprias ferramentas, integrar painéis de controle hospedados e controlar desde opções de compilação até fluxos de negociação com vítimas.
Estrutura e operações no dark web
Segundo relatórios da S2W, os operadores do Gunra realizam quase toda a sua atividade em fóruns da dark web que permitem conteúdo relacionado a ransomware. Eles mantêm a promoção pública mínima, preferindo espaços controlados como RAMP, Rehub, Tierone e Darkforums para recrutar afiliados, contratar testadores de penetração e vender dados comprometidos.
Essa postura de baixo perfil torna o Gunra mais difícil de rastrear, mas também sinaliza uma estratégia deliberada de longo prazo, em vez de ataques rápidos de "queimar e correr". A presença na dark web tornou-se mais estruturada à medida que a oferta RaaS amadureceu.
Modelo branco e expansão de afiliados
Uma característica distintiva do modelo do Gunra é a capacidade de afiliados lançarem ataques sob suas próprias marcas de ransomware, mesmo que o código subjacente e a infraestrutura pertençam ao Gunra. Isso significa que os defensores podem encontrar novos nomes de ransomware que, na realidade, são o Gunra por baixo do capô, com infraestrutura compartilhada e técnicas sobrepostas.
Conforme mais afiliados se juntam, o ecossistema pode rapidamente gerar múltiplas marcas, cada uma com seu próprio site de vazamento, estilo de extorsão e conjunto de vítimas. Isso torna a atribuição mais difícil para as equipes de segurança e aumenta o risco de que uma ameaça "nova" seja, na verdade, uma antiga disfarçada.
Impacto e alcance das vítimas
Até 9 de março de 2026, um total de 32 organizações vítimas havia sido confirmado, mostrando o quão rapidamente a ameaça escalou uma vez que o modelo de serviço foi estabelecido. As regras internas do Gunra não mostram limites estritos sobre as indústrias-alvo, o que amplia a superfície de ameaça para organizações de todos os tamanhos.
Diferente de alguns programas RaaS que evitam hospitais ou infraestrutura crítica, as regras internas do Gunra não definem indústrias proibidas separadas, e quaisquer restrições sobre países-alvo parecem ser flexíveis e vinculadas à região de origem do afiliado.
Capacidades técnicas e evolução do malware
O construtor do Gunra suporta sistemas Windows e Linux, permitindo que os afiliados gerem payloads que se adequem aos seus alvos preferidos. As compilações do Windows correspondem a amostras anteriores, enquanto as compilações do Linux têm parâmetros de execução atualizados, lógica de criptografia e mudanças em partes onde fraquezas criptográficas haviam sido encontradas.
Essas mudanças mostram que o grupo está ativamente refinando seu código, fechando lacunas e ajustando o desempenho com base em análises anteriores. A capacidade de suportar Linux amplia o alcance do ataque para servidores e ambientes corporativos que utilizam sistemas operacionais baseados em Unix.
Recomendações para defensores
A S2W recomenda que as organizações fortaleçam sua visibilidade na atividade da dark web, já que os operadores e afiliados do Gunra anunciam, recrutam e negociam dados roubados principalmente nesses fóruns. O monitoramento regular de comunidades amigáveis a ransomware pode ajudar a detectar sinais iniciais de interesse em um determinado setor ou região.
Além disso, é crucial rastrear marcas emergentes de ransomware que compartilham marcadores técnicos com o Gunra, especialmente quando essas marcas aparecem repentinamente na dark web sem uma linhagem clara. Construir um mapa dessas relações ajudará os respondedores a entender como os ataques estão vinculados e quem pode estar operando nos bastidores.
Conclusão e vigilância contínua
O Gunra representa um ecossistema de ameaça em evolução que combina operações de RaaS com uma postura de baixo perfil. Para os CISOs e equipes de segurança, a abordagem deve ser tratar o Gunra não como uma única família de malware, mas como um ecossistema contínuo. A combinação de controles de segurança tradicionais com inteligência de ameaças focada em ecossistemas de ransomware é essencial para se preparar para a próxima onda de afiliados e campanhas rebrandeadas.