# Gunra Ransomware > [!warning] Resumo > Grupo de ransomware emergente baseado em código vazado do Conti, especializado em dupla extorsão com prazo de 5 dias, exploração de VMware ESXi e abuso de GPO. Alvo confirmado no Brasil e na América Latina. ## Visão Geral O **Gunra** é um grupo de ransomware financeiramente motivado que emergiu em **abril de 2025**, construído sobre o **código-fonte vazado do [[conti|Conti]]**. O grupo emprega táticas de dupla extorsão - criptografia de arquivos críticos combinada com exfiltração de dados sensíveis. O Gunra impõe um **prazo rígido de 5 dias** para pagamento de resgaté, com demandas que frequentemente chegam a milhões de dólares em criptomoeda. As negociações são conduzidas via portais baseados em Tor que imitam a interface do WhatsApp. Se a vítima não responder em 24 horas, o grupo escala para negociação de dados em fóruns de breach. Análises de comunicação sugerem operadores **fluentes em inglês**, possívelmente de países anglófonos (Reino Unido, EUA, Canadá, Austrália), embora isso não sejá conclusivo. O grupo desenvolveu uma **variante Linux** que expande o alcance para além de sistemas Windows. ## Táticas, Técnicas e Procedimentos (TTPs) O Gunra emprega um conjunto extenso de técnicas [[t1082-system-information-discovery|MITRE ATT&CK]]: - **Acesso Inicial**: Phishing com e-mails meticulosamente elaborados - **Execução**: Windows Management Instrumentation ([[t1047-windows-management-instrumentation|T1047]]), módulos compartilhados - **Persistência**: Extensões de software, bootkit Pre-OS ([[t1574-hijack-execution-flow|T1574]]) - **Escalação de Privilégios**: Injeção de processos ([[t1055-process-injection|T1055]]), DLL Side-Loading - **Evasão**: Rootkits, ofuscação ([[t1027-obfuscated-files-or-information|T1027]]), masquerading, bootkit - **Acesso a Credenciais**: OS Credential Dumping ([[t1003-os-credential-dumping|T1003]]), roubo de cookies de sessão web, credenciais em arquivos - **Descoberta**: Processos, software de segurança, informações do sistema ([[t1082-system-information-discovery|T1082]]) - **Impacto**: Criptografia de dados ([[t1486-data-encrypted-for-impact|T1486]]), inibição de recuperação via deleção de VSS ([[t1490-inhibit-system-recovery|T1490]]) ## Campanhas Notáveis | Data | Alvo | País | Detalhes | |------|------|------|----------| | Mai 2025 | Hospital em Dubai | EAU | 40 TB de dados supostamente vazados | | Ago 2025 | Sistema de Justiça Criminal Militar | [[latam\|Colômbia]] | 45 TB de documentos de estado sensíveis roubados | | 2025 | Seguros América | Nicarágua | Setor de seguros | | 2025 | Seoul Guarantee Insurance | Coreia do Sul | Setor de seguros | | Dez 2025 | Múltiplos alvos | Global | Movimentação lateral sofisticada com abuso de domain admin | ## Infraestrutura e Ferramentas - **[[lumma-stealer]]**: Coleta de credenciais iniciais - **[[donot-loader]]**: Staging do binário de ransomware - **Variante Linux**: Acelera e customiza criptografia, expandindo alcance - **Portais Tor**: 4 domínios onion, Apache/2.4.63 e PHP/8.4.5 - **SendGB**: Serviço estoniano de compartilhamento de arquivos para hosting de dados vazados - **Exploits VMware ESXi**: [[cve-2025-22225|CVE-2025-22225]] e [[cve-2025-22224|CVE-2025-22224]] para escape de sandbox e execução no hypervisor ## Alvos e Setores O Gunra tem alcance global com vítimas confirmadas em [[latam|Brasil]], Jápão, Canadá, Turquia, Coreia do Sul, Taiwan, EUA, Egito, Panamá, Itália, Argentina, [[latam|Colômbia]] e Nicarágua - demonstrando forte presença na **América Latina**. Setores-alvo incluem [[manufatura]], [[healthcare|saúde]], [[technology]], [[agricultura]], direito, transportes, [[seguros]] e [[government]]. ## Relevância para o Brasil e LATAM > [!danger] AMEAÇA CRÍTICA - Gunra Alvo CONFIRMADO LATAM > Gunra é uma **ameaça extremamente elevada para o Brasil e LATAM**, com vítimas confirmadas incluindo **Colômbia (sistema de justiça militar)** e múltiplos alvos regionais. O grupo emergiu apenas em 2025 com base no código-fonte vazado do Conti e já demonstrou capacidade operacional contra infraestrutura crítica LATAM. A especialização em **manufatura, saúde e governo** corresponde exatamente aos setores críticos brasileiros. O prazo rígido de 5 dias para pagamento, combinado com ameaça de vazamento de dados em fóruns de breach, cria pressão operacional extrema. A exploração de CVEs recentes em VMware ESXi (hypervisores comuns em LATAM) significa que ambientes virtualizados podem ser comprometidos no nível do host. Organizações brasileiras devem: (1) aplicar patches de VMware imediatamente; (2) implementar backups imutáveis offline; (3) planejar playbook específico de resposta a ransomware Gunra com prazo de 5 dias. --- ## Indicadores de Comprometimento (IoCs) - Exploração de CVE-2025-22225 e CVE-2025-22224 em VMware ESXi - Presença de Lumma Stealer e Donot Loader - Portais de negociação Tor mimetizando WhatsApp - Uploads para SendGB (serviço estoniano) - Prazo de pagamento de 5 dias ## Referências - [Trend Micro - Gunra Ransomware Linux Variant](https://www.trendmicro.com/en_us/research/25/g/gunra-ransomware-linux-variant.html) - [CYFIRMA - Gunra Ransomware Surge Targeting Critical Infrastructure](https://industrialcyber.co/ransomware/cyfirma-warns-of-gunra-ransomware-surge-targeting-critical-infrastructure-using-double-extortion-data-exposure/) - [Lumu - Advisory Alert: Gunra Ransomware 5-Day Ultimatum](https://lumu.io/blog/advisory-alert-gunra-ransomware-5day-ultimatum/) - [The Raven File - Gunra Ransomware: What You Don't Know](https://theravenfile.com/2025/09/23/gunra-ransomware-what-you-dont-know/)