✅ 보고서 제목: 국내 금융기관을 겨냥한 Gunra 랜섬웨어 간략 개요

✅ 보고서 요약:

- 2025년 7월, 국내 보증보험사인 SGI서울보증이 Gunra 랜섬웨어(건라 랜섬웨어) 공격에 의해 피해를 입었습니다.

- 이번 공격으로 인해 핵심 시스템이 마비되었고, 이로 인해 대출 서비스가 중단되는 등의 운영 차질이 발생하였습니다.

📌 Gunra 랜섬웨어란?

- Gunra는 2025년 4월 처음 식별된 랜섬웨어 그룹입니다.

- 그룹의 명칭이 공식적으로 확인되지 않았기 때문에, 보안 전문가들은 유출 사이트(Leak Site) 도메인의 앞 글자를 따 ‘Gunra’라는 이름을 부여하였습니다.

- 또한 해당 유출 사이트의 타이틀인 ‘Data Publish’를 근거로 ‘Data Publish 그룹’으로도 언급되고 있습니다.

📌 Gunra 랜섬웨어의 특징

- Gunra 랜섬웨어는 Conti v2소스코드를 기반으로 제작되었습니다.

- 사용하는 API는 더미코드들로 난독화되어 있으며, 동적으로 API Resolving을 통해 API를 호출합니다.

- 문자열들은 모두 커스텀 연산을 통해 암호화되며, 실행 시 복호화 함수에 의해 해석됩니다.

- “34adfwefadf99439” 라는 이름의 뮤텍스를 생성합니다.

- GetNativeSystemInfo 를 통해 CPU 개수 확인한 뒤, 해당 수치의 2배만큼의 스레드를 생성하여 암호화 작업을 수행합니다.

- GetLogicalDriveStringW 를 통해 현재 시스템의 모든 드라이브를 탐색하며, 모든 드라이브의 디렉토리들을 순회하고 암호화에 제외될 확장자, 파일, 폴더 리스트를 체크하여 암호화 할 파일들을 선택 후 해당 파일을 제외한 모든 파일들은 암호화 대상이 되어, 암호화 스레드로 전달합니다.

- 파일 암호화에는 ChaCha8과 RSA 알고리즘이 결합되어 사용됩니다.

- WMIC 명령을 통해 볼륨 섀도 카피본을 삭제합니다.

- 실행 중인 프로세스가 ‘Explorer’인지 여부를 확인하는 절차를 포함하고 있습니다.

- Gunra의 Linux 버전에서는 ChaCha20 알고리즘을 사용하고 있으며, 해당 버전에는 암호학적 취약점이 존재하는 것으로 파악됩니다.

👉 보고서 전문 문의하기: https://s2w.inc/ko/contact

*해당 보고서는 별도 문의 가능하며 S2W의 QUAXAR 플랫폼 구독 시 전문으로 제공됩니다.