文章总结： Gunra勒索软件已从Conti变种转型为独立RaaS模式，攻击范围扩大至32+组织，支持双平台且无明显行业限制。建议加强终端监控、访问控制、备份恢复及暗网威胁情报追踪，以应对该灵活且危险的勒索威胁。 综合评分： 83 文章分类： 恶意软件,威胁情报,网络安全,应急响应,漏洞分析

Gunra勒索软件在Conti Locker迁移后扩展了其RaaS业务

原创

ZM ZM

暗镜

2026年5月17日 06:00 北京

在小说阅读器读本章

去阅读

Gunra 勒索软件从基于 Conti 的加密库转向其自身的勒索软件即服务 (RaaS) 模型后，正在迅速演变为一种更有组织性、更危险的网络犯罪行动。

该组织于 2025 年 4 月首次被发现，最初的目标是少数受害者，但其最近的运营变化已显著扩大了其在各行各业的影响范围。

Gunra 组织成立之初便对韩国五家公司发动攻击，引起了广泛关注。该组织早期使用的勒索软件是基于 Conti 的变种，这表明其与此前泄露的 Conti 源代码存在关联，而许多网络犯罪分子都曾重复利用这些源代码。

然而，Gunra 已经转型为完全独立的运营模式，并开发了自己的勒索软件有效载荷。

这一转变恰逢该组织采用 RaaS 模式，允许其附属机构使用其工具，以换取一部分赎金。

截至 2026 年 3 月 9 日，至少有 32 个组织被证实是 Gunra 勒索软件攻击的受害者。

虽然 2025 年下半年活动有所放缓，但向 RaaS 生态系统的转型推动了攻击的明显复苏，这表明联盟招募和规模扩张取得了成功。

对S2W研究的分析显示，其活动时间段稳定在上午8:00至10:00之间，这与亚洲部分地区的典型工作时间相吻合。然而，由于数据有限，目前尚无法确定其具体的地理来源。

Gunra 保持低调，避免过度宣传。相反，它活跃于成熟的暗网社区，在这些社区中，勒索软件活动已司空见惯。该组织曾在 RAMP、Rehub、Tierone 和 Darkforums 等论坛上出现。

在这些平台上，Gunra 推广其 RaaS 计划，招募联盟成员和渗透测试人员，并出售从被入侵组织窃取的数据。

至少在一个案例中，一名用户发布了与运营者同一受害者的数据，这表明存在协调，并证实了生态系统中存在活跃的关联方。

Gunra勒索软件

与许多RaaS（下载即服务）组织不同，Gunra的关联组织并不公开声明彼此的关系。然而，诸如共享受害者数据等间接证据证实了运营者与关联组织之间的合作。

对Gunra 勒索软件基础设施的进一步分析揭示了一个功能丰富的联盟营销平台。该平台包含谈判、文件管理、有效载荷部署（锁定工具）、处理者沟通和品牌定制等功能。

值得注意的是，Gunra 允许关联方使用自己的勒索软件品牌，这增加了以不同名称出现新变种的可能性。

该运营商还在赎金谈判中扮演积极角色，这表明其对攻击生命周期的关键阶段拥有集中控制权。

该组织并未对目标行业实施严格的规定。此外，对地理目标的限制似乎较为灵活，可能取决于其关联机构的所在地，这增加了遭受广泛且无差别攻击的风险。

Gunra 的勒索软件构建器同时支持 Windows 和 Linux 环境，凸显了其攻击各种基础设施的能力。

Windows 版本与之前分析的样本保持一致，而 Linux 版本则显示出明显的修改。

这些包括对执行参数、日志功能和加密机制的更改。

研究人员还发现 Linux 实现中的某些部分存在加密漏洞，这些漏洞可能被用于防御分析或解密工作。

缓解措施

安全专家建议提高警惕，因为 Gunra 的 RaaS 模式不断扩展，且缺乏目标限制。

• 持续监控暗网论坛，以发现新出现的威胁、招募联盟成员以及泄露的数据。
• 加强终端检测和响应系统，以便及早发现勒索软件行为。
• 实施严格的访问控制和补丁管理，以减少初始入侵途径。
• 制定事件响应计划，包括离线备份和恢复策略。

与其他避免攻击医疗保健等关键行业的勒索软件组织不同，Gunra 没有施加此类限制。

再加上其灵活的附属机构结构，这增加了潜在的攻击面和整体威胁级别。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《Gunra勒索软件在Conti Locker迁移后扩展了其RaaS业务》