O ransomware Gunra, identificado pela primeira vez em abril de 2025, já comprometeu empresas dos setores farmacêutico, industrial e imobiliário em países como Japão, Egito, Panamá, Itália e Argentina. O programa utiliza uma estratégia de extorsão dupla, na qual dados confidenciais são extraídos antes da criptografia. Caso a vítima se recuse a pagar o resgate, os operadores ameaçam publicar os dados roubados em fóruns clandestinos.
Leia também
Líder do Black Kingdom é indiciado
Setor financeiro lidera ataques no Brasil em 2025
Os sistemas comprometidos têm os arquivos renomeados com a extensão “.ENCRT”, e um documento com instruções, chamado “R3ADM3.txt”, é deixado nos diretórios. O arquivo direciona as vítimas a uma página na rede Tor que simula um serviço de mensagens e serve como canal de negociação. O prazo imposto para o pagamento do resgate é de cinco dias, após o qual os dados extraídos são publicados.
O Gunra é derivado do código do ransomware Conti, mas apresenta melhorias importantes em evasão e persistência. Após a infecção, coleta informações sobre o ambiente, exclui cópias de sombra via WMI, escaneia o sistema e injeta código em processos confiáveis. Também executa rotinas de ofuscação e verifica a presença de depuradores para evitar análise. A criptografia afeta arquivos com extensões comuns como .docx, .pdf e .jpg, resultando na paralisação total das operações da vítima.
As técnicas adotadas se alinham ao modelo MITRE ATT&CK, incluindo execução por WMI, persistência via inicialização, elevação de privilégios com injeção de código e uso de ofuscação para ocultar ações. A estrutura dos ataques é meticulosa, o que dificulta a detecção antecipada e o exame pós-incidente.
A empresa CYFIRMA recomenda uma abordagem preventiva, com a implementação de soluções EDR, backups atualizados, segmentação de redes e restrição de privilégios. A vigilância sobre conexões com a rede Tor e a capacitação de colaboradores contra campanhas de phishing também são medidas fundamentais para mitigar o risco de infecção.
