AhnLab TIP はフォーラム(Forum)やマーケットプレイス(Marketplace)などで、ランサムウェアグループの活動を詳細にモニタリングおよび追跡している。ユーザーは AhnLab TIP の「Dark Web Watch」ページで 近年、 最も活発に活動している ランサムウェアグループの情報と彼らの協力関係/攻撃計画/攻撃手法 などについても確認できる。この情報を通じて攻撃対象や目標などを予測し、被害を予防することによって脅威に先制的に対応することができる。
[図1] AhnLab TIP – Dark Web Watch
2025年上半期の間、複数の ランサムウェアギャングが新しい DLS(Dedicated Leak Sites)を開設し、活発な活動を続けている。以下は、2025年2月から6月まで当社が新たに収集した ランサムウェア DLS 追加現況を視覚化したグラフである。この中でも特に注目すべき新規グループは Gunra ランサムウェアであり、2025年4月には Gunra ランサムウェアの DLS 情報が新たに確認され、当社はこれを基に当該グループの活動を分析した。
[図2] 2025年2~6月、新規収集された ランサムウェア DLS 現況
Gunra の初期活動は、2025年4月10日に確認され、特に Conti ランサムウェアとコードの類似性が確認された。Conti ランサムウェアは 2020年から活発に活動しているロシア語ベースのランサムウェア組織であり、最も悪名高いランサムウェアの一つと呼ばれている。2022年2月、Conti ランサムウェア組織がロシア政府への支持声明を発表した直後、組織内部のウクライナ出身の研究員がこれに反発し、内部ドキュメントとソースコードを流出させた。Conti ソースコードが流出した後、Black Basta、Royal のような様々なグループがこれを活用して変種ランサムウェアを製作したが、Gunra ランサムウェアも Conti ソースコードを部分的に再利用しながらも、迅速な交渉プロセスとソーシャルエンジニアリング的な圧力手段を強化したグループとして評価されている。特に、5日以内の交渉開始を強制する時間的圧力戦略が、既存のランサムウェアと差別化された脅威要素として作用している。
このような背景をもとに、本ブログでは Gunra ランサムウェアの実行フローについて記述する。
[分析情報]
Gunra ランサムウェアはファイルを暗号化するため、暗号化ルーチンを持つスレッドを生成するが、このとき、ユーザーの CPU の論理コア数を確認してスレッドを生成する。
[図3] スレッド生成
生成されたスレッドでは、ファイル内部に存在する RSA 公開鍵を使用して RSA キーを生成する。生成された RSA キーは ChaCha20 キーを作るのに使用され、最終的に作成された ChaCha20 キーは[図6]、[図7]のようにファイル暗号化ルーチンで使用される。
[図4] RSA キー生成
[図5] ファイル内部に存在する公開キー
[図6] ChaCha20 キー生成
[図7] ファイル暗号化ルーチンの一部
[図8] ChaCha20 暗号化ルーチンの一部
ファイル暗号化のロジックがすべて実行されると、cmd コマンドを使用して感染 PC のボリュームシャドウコピーを削除する。
- cmd.exe /c C:\Windows\System32\wbem\WMIC.exe shadowcopy where “ID={shadowcopyの GUID}” delete
[図9] ボリュームシャドウコピーを削除
Gunra ランサムウェアは[図9]のように暗号化されたフォルダー内部に「R3ADM3.txt」というファイル名でランサムノートを生成し、典型的なランサムウェアのようにファイルが暗号化されたので復号化したい場合はランサムウェアの攻撃者のサイトに接続してお金を支払えという内容である。
[図10] ランサムノート
| 暗号化拡張子 | .ENCRT |
| 感染例外フォルダー | tmp, winnt, temp, thumb, $Recycle.Bin, $RECYCLE.BIN, System Volume Information, Boot, Windows, Trend Micro |
| 感染例外拡張子 | .exe, .dll, .lnk, .sys, .msi, .ENCRT |
| 感染例外ファイル | R3ADM3.txt, CONTI_LOG.txt |
| ランサムノート | R3ADM3.txt |
| 特異事項 | 感染させようとするドライブが C:\ の場合 C:\Users フォルダーのみ感染 |
[表1] Gunra ランサムウェアの特徴
新しく収集されるランサムウェア DLS の数が持続的に増加しており、企業と個人の両方にとって深刻なセキュリティ脅威となっている。これにより、主要資産を保護し安定的に運用するため、以下のようなセキュリティ則を徹底的に遵守することを推奨する。
- OS およびソフトウェアの最新セキュリティアップデート適用と自動アップデート適用
- セキュリティソフトウェアのインストールおよび使用。最新アップデート維持
- 定期的にバックアップを実行し、そのバックアップをオフラインまたは別のネットワークに保存
- 信頼できない出所の Web サイトや電子メールのリンク、または添付ファイルの閲覧および実行に注意
- 推測が困難なパスワード使用および 2FA 認証使用
ユーザーはランサムウェアに備え、重要データをサービス網と分離されたオフサイトにバックアップし、バックアップストレージへのアクセス統制および定期的な復旧トレーニングを実行する必要がある。単純なバックアップにとどまらず、バックアップシステム自体のセキュリティ性と復旧可能性を確保する戦略的対応が必須である。
AhnLab 製品は Gunra ランサムウェアに対して以下のように検知している。
[V3]
◦ Ransomware/Win.Gunra.C5761824
◦ Ransomware/Win.Gunra.C5755872
[EDR]
◦ SystemManipulation/EDR.Event.M2506
◦ Ransom/EDR.Decoy.M2470
◦ Malware/MDP.Ransom.M1876
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム 「AhnLab TIP」 サブスクリプションサービスを通して確認できる。
Categories: Uncategorized