✅ レポートタイトル：ランサムウェアグループエコシステム分析：「Gunra」（ガンラ）

✅ レポートの要約：

- 2025年4月に初めて確認されて以降、「Gunra」ランサムウェアは韓国企業5社を攻撃したことで注目を集めています。

- 「Gunra」ランサムウェアは、初期にはContiベースのランサムウェアを使用していましたが、RaaS（Ransomware-as-a-Service）へ移行した後、独自のランサムウェアを開発・運用しています。

- 2026年3月9日時点で、「Gunra」ランサムウェアによる被害企業は計32社確認されています。

- 2025年下半期には活動量が減少傾向を示していましたが、RaaSへ拡大した後、再び増加傾向を示しています。

Gunraのデータ漏洩サイト

- 「Gunra」Operatorの活動パターンを分析した結果、08:00〜10:00の時間帯に活動が集中していることが確認されました。大半の活動はアジア地域の業務時間帯と一致していますが、サンプル数が限られているため、Operatorの実際の所在地や国を断定することは困難です。

- 「Gunra」は、ランサムウェア活動が許可されているダークウェブフォーラムのみで活動しており、広報活動は最小限に留めています。

- 「Gunra」は、RAMP、Rehub、Tierone、Darkforumsなどのダークウェブフォーラムで活動しています。

- ダークウェブフォーラム上でRaaSを宣伝し、Affiliateやペンテスターを募集するとともに、侵害データを販売しています。

- Operatorと同一の被害企業データを投稿したユーザーが確認されており、「Gunra」のAffiliateである可能性が高いと推定されています。

- 「Gunra」のAffiliateが直接的に「Gunra」との関係を明かした事例は確認されていません。しかし、Operatorが同一の被害企業データを投稿した事例が確認されており、間接的に「Gunra」のAffiliateであることを示しています。

- 「Gunra」のパネルで提供される機能が確認されました。

- 「Gunra」の内部ルールにはターゲット業種に対する制限は存在せず、禁止対象国についてはAffiliateの出身国に応じて柔軟に適用されていると推定されます。

- パネル内にはNegotiation、Files、Lock Tool、Handler、Brand Settingなどの機能が存在することが確認されており、Operatorが交渉プロセスに直接関与していることも確認されました。

- 「Gunra」パネルに含まれるBuilderは、WindowsおよびLinuxオペレーティングシステム向けのビルド機能を提供しています。

- Windows版は、前回レポートで分析されたサンプルと同一であることが確認されました。一方、Linux版では、実行パラメータ、ログ出力機能、暗号化アルゴリズム、および暗号学的脆弱性を含む一部コードが変更されていました。

- 「Gunra」ランサムウェアは、ダークウェブフォーラム上でRaaSを宣伝し、Affiliateを募集するとともに、被害企業の漏洩データを販売しているため、継続的なダークウェブモニタリングが必要です。

- 他のRaaSグループが病院や重要インフラ施設を攻撃対象から除外しているのに対し、「Gunra」は禁止対象業種を設定していないため、被害範囲がさらに拡大する可能性があり、より一層の注意が必要です。

- 「Gunra」ランサムウェアは、Affiliateが独自ブランドを作成・運営できるようにしているため、「Gunra」をベースとした新たなランサムウェアグループが登場する可能性を考慮し、継続的なモニタリングが推奨されます。

🧑‍💻 レポート作成者: S2W 「TALON」

👉 レポートに関するお問い合わせ: https://s2w.inc/ja/contact

*当該レポートは、S2Wのプラットフォームにて提供されます。詳細に関してはお問い合わせください。