✅ 보고서 제목: Gunra 랜섬웨어 그룹 생태계 심층 분석 보고서

✅ 보고서 요약:

📌 건라(Gunra) 랜섬웨어 그룹은 어떤 조직인가요?

- Gunra 랜섬웨어는 2025년 4월 처음 발견된 이후, 국내 기업 5곳을 공격하며 주목을 받았습니다.

- Gunra 랜섬웨어는 처음 발견될 당시 Conti 기반의 랜섬웨어를 사용하였으나, RaaS(Ransomware-as-a-Service)로 전환한 이후 자체 랜섬웨어를 개발하여 활용하고 있습니다.

- 2026년 3월 9일 기준, 총 32개의 기업이 Gunra 랜섬웨어에 의해 피해를 입은 것으로 확인됩니다.
  - 2025년 하반기 해당 그룹의 활동량이 감소하는 추세를 보였으나, RaaS로 확장한 이후 다시 증가하는 추세를 보이고 있습니다.

Gunra의 DLS

📌 건라(Gunra) 랜섬웨어 그룹의 활동 패턴

- Gunra 운영자의 활동 시간대를 분석한 결과, 08:00~10:00에 집중되는 경향이 있으며, 활동 시간 대부분은 아시아권의 업무 시간에 해당합니다. 다만 표본 수가 적어 운영자의 위치 및 국가를 아시아 지역으로 단정하기는 어려운 것으로 확인됩니다.

- Gunra는 랜섬웨어 활동이 허용된 다크웹 포럼에서만 활동하며, 최소한의 홍보 활동만을 수행합니다.
  - Gunra는 RAMP, Rehub, Tierone, Darkforums 등의 다크웹 포럼에서 활동합니다.
  - 다크웹 포럼에서 RaaS 홍보, Affiliate 및 Pentester 모집, 탈취 데이터 판매를 수행합니다.
  - Operator와 동일한 피해 기업의 데이터를 게시한 유저가 식별되었으며, Gunra Affiliate로 추정됩니다.

📌 연관 그룹 분석

- Gunra의 Affiliate가 자신이 Gunra 소속임을 직접 밝힌 사례는 확인되지 않았습니다.

- 그러나 Operator와 동일한 피해 기업의 데이터를 게시함으로써 간접적으로 자신이 Gunra의 Affiliate임을 나타낸 사례가 확인되었습니다.

📌 내부 Affiliate 패널 분석 결과

- Gunra 내부 규칙에서 공격 대상 산업군에 대한 제한은 존재하지 않으며, 타겟 금지 국가는 Affiliate의 출신 국가에 따라 유동적으로 적용되는 것으로 추정됩니다.

- 패널 기능으로 Negotiation, Files, Lock Tool, Handler, Brand Setting 등이 존재하며, Operator가 협상 과정에 직접 참여하는 것으로 확인됩니다.

📌 바이너리 분석

- Gunra 패널에 포함된 빌더는 Windows 및 Linux 운영체제를 대상으로 빌드 기능을 제공합니다.

- Windows 버전은 기존 보고서에서 분석하였던 샘플과 동일한 것으로 확인되며, Linux 버전의 경우 실행 인자, 로그 출력 기능, 암호화 알고리즘, 암호학적 결함이 존재하였던 부분이 변경되었습니다.

✅ 위협 탐지 권장 사항 및 조치 방안:

- Gunra 랜섬웨어는 다크웹 포럼에서 RaaS 홍보 및 Affiliate 모집을 수행하고, 피해 기업의 유출 데이터를 판매하기에 지속적인 다크웹 모니터링이 필요합니다.

- 병원이나 핵심 인프라 시설을 공격 대상에서 제외하는 다른 RaaS 그룹과 달리, Gunra는 별도의 타겟 금지 산업군을 설정하지 않아 잠재적 피해 범위가 더 넓다는 점에서 각별한 주의가 필요합니다.

- Gunra 랜섬웨어는 Affiliate가 자체 브랜드를 생성해 활동하는 것을 허용하므로, Gunra 랜섬웨어 기반의 새로운 랜섬웨어 그룹이 등장할 수 있어 지속적인 모니터링이 권고됩니다.

🧑‍💻 보고서 작성자: S2W TALON

👉 보고서 전문 문의하기: https://s2w.inc/ko/contact

*해당 보고서는 별도 문의 가능하며, S2W의 플랫폼 구독 시 전문으로 제공됩니다.