باج‌افزار Gunra

حملات گسترده باج‌افزار Gunra؛ تهدیدی برای ویندوز و لینوکس با رمزگذاری دوگانه

در سال ۲۰۲۵، چشم‌انداز امنیت سایبری شاهد ظهور یکی از پیچیده‌ترین باج‌افزارهای چند‌سکویی به نام Gunra بوده است. این گروه از مهاجمان از ماه آوریل حملات خود را در صنایع مختلف و مناطق جغرافیایی گوناگون آغاز کرده‌اند؛ گزارش‌هایی از حملات موفق به سازمان‌هایی در کره جنوبی نیز منتشر شده است.

ویژگی برجسته Gunra توانایی فعالیت هم‌زمان در دو محیط متفاوت است. این باج‌افزار نسخه‌ای ویژه برای ویندوز (EXE) و نسخه‌ای دیگر برای لینوکس (ELF) منتشر می‌کند. هر نسخه از الگوریتم رمزگذاری مخصوص به خود استفاده می‌کند تا بیشترین تخریب را در زیرساخت‌های ناهمگون سازمانی ایجاد کند.

 ساختار فنی و نحوه عملکرد

هر دو نسخه Gunra از طریق رابط خط فرمان (CLI) اجرا می‌شوند و برای آغاز عملیات نیاز به پنج پارامتر دارند:

1. تعداد رشته‌های هم‌زمان برای رمزگذاری (Thread Count)

2. مسیر هدف (Target Path)

3. پسوند فایل‌هایی که باید رمز شوند

4. نسبت فایل‌های هدف (Encryption Ratio)

5. مسیر فایل کلید عمومی RSA

در فاز آماده‌سازی، بدافزار فایل‌ها را با دقت پیمایش می‌کند و بسته به تنظیمات، می‌تواند یک پوشه خاص، کل مسیرها یا حتی کل دیسک سیستم را رمزگذاری کند. فایل‌هایی با پسوند خاص یا فایل‌های README عمداً از فرآیند حذف می‌شوند تا سیستم همچنان عملکرد پایه‌ای خود را حفظ کند.

 ضعف رمزنگاری در نسخه لینوکس

در نسخه لینوکسی، تحلیل‌گران امنیتی یک نقص بنیادی در تولید کلید رمزگذاری کشف کرده‌اند. توسعه‌دهندگان Gunra از تابع time() برای مقداردهی اولیه تولید اعداد تصادفی استفاده کرده‌اند. از آن‌جایی که فرایند بسیار سریع اجرا می‌شود، چندین نمونه از باج‌افزار مقادیر یکسانی دریافت می‌کنند و در نتیجه، تابع rand() رشته‌هایی تکراری تولید می‌کند.

در نتیجه، کلیدهای ۳۲ بایتی و Nonceهای ۱۲ بایتی با الگوهای تکراری ساخته می‌شوند. این خطا باعث شده رمزگذاری فایل‌ها قابل شکست از طریق حمله Brute Force باشد. پژوهشگران توانسته‌اند با آزمایش ۲۵۶ مقدار ممکن (۰x۰۰ تا ۰xFF) فایل‌های رمزگذاری‌شده را بازیابی کنند.

 نسخه ویندوز؛ رمزنگاری قوی‌تر

در مقابل، نسخه ویندوز از تابع CryptGenRandom() و سرویس‌های رمزنگاری داخلی ویندوز استفاده می‌کند که مقادیر کاملاً تصادفی و ایمن تولید می‌کنند. این نسخه از الگوریتم ChaCha8 بهره می‌برد و در مقایسه با ChaCha20 در لینوکس، رفتار متفاوتی دارد.

به‌همین دلیل، احتمال بازیابی داده‌ها در ویندوز تقریباً غیرممکن است؛ در حالی که سیستم‌های لینوکسی در برابر این باج‌افزار آسیب‌پذیرتر باقی می‌مانند.

 پیامدها برای سازمان‌ها

تفاوت ساختاری میان دو نسخه Gunra، تهدیدی نامتقارن ایجاد کرده است. سازمان‌هایی که زیرساخت آن‌ها عمدتاً بر پایه لینوکس است، باید احتمال بازیابی فایل‌های رمزگذاری‌شده را در برنامه واکنش به حادثه خود بگنجانند. در مقابل، شرکت‌های دارای محیط ویندوزی باید ایزوله‌سازی فوری و تحلیل رفتار شبکه را در اولویت قرار دهند.

برای هر دو محیط، تیم‌های امنیتی باید:

• سیستم‌های مشکوک را فوراً از شبکه جدا کنند،

• نشانه‌های آلودگی (IoC) را بررسی نمایند،

• و در صورت امکان، نسخه‌های آسیب‌دیده لینوکس را با روش‌های رمزگشایی شناخته‌شده بازیابی کنند.

 نتیجه‌گیری

باج‌افزار Gunra نشان می‌دهد مهاجمان در حال توسعه‌ی ابزارهایی هستند که بتوانند هم‌زمان چندین سیستم‌عامل را هدف قرار دهند. ضعف رمزنگاری در نسخه لینوکس ممکن است موقتاً به سود مدافعان تمام شود، اما طراحی ماژولار و انعطاف‌پذیر این بدافزار نشانه‌ی تهدیدی جدی برای زیرساخت‌های چند‌پلتفرمی است.

امنیت سایبری مدرن باید بر هوشمندی تهدیدات پلتفرم‌محور و توسعه‌ی سریع ابزارهای واکنش متمرکز شود تا از خسارات گسترده جلوگیری گردد.