Serangan ransomware bernama Gunra telah muncul sebagai varian baru yang mengadopsi kode sumber Conti yang sebelumnya bocor. Ransomware ini melakukan double extortion dan menyebar dengan cepat ke berbagai sistem Windows di banyak negara.

Gunra pertama kali terdeteksi pada April 2025 di forum kebocoran data. Berbeda dari serangan acak berbasis spam, pelaku Gunra lebih memilih akses langsung ke jaringan korban, dengan memanfaatkan kredensial RDP curian atau kerentanan pada VPN yang belum diperbarui.

Setelah mendapatkan akses administratif, pelaku menyebarkan malware secara serentak ke puluhan perangkat menggunakan PsExec atau Group Policy, hanya dalam beberapa menit.

Serangan seperti ini telah menyebabkan gangguan besar pada operasional sejumlah perusahaan di sektor manufaktur, kesehatan, dan logistik, sebagaimana dilaporkan oleh ASEC (AhnLab Security Emergency response Center).

Baca Juga: Gelombang Serangan Ransomware Baru Gunakan File HTML Berbahaya, Sasar Pengguna Discord hingga OnlyFans

Gunra meniru struktur multithreaded ala Conti dengan memanfaatkan seluruh inti CPU yang tersedia. Misalnya, pada sistem dengan 16 inti, malware ini menjalankan 16 proses enkripsi paralel, masing-masing memproses potongan file sebesar 5 MB.

Setiap proses menghasilkan RSA-2048 key yang dipakai untuk membuat kunci sesi ChaCha20, lalu mengenkripsi file dengan menambahkan ekstensi “.ENCRT”.

Ransomware ini secara sengaja menghindari file sistem dan executable penting agar sistem tetap berjalan, memungkinkan korban membaca file tebusan "R3ADM3.txt" yang ditinggalkan di setiap folder.

Setelah proses enkripsi, Gunra akan menghapus seluruh Shadow Copy (salinan cadangan) sistem dengan perintah berikut:

cmd.exe /c C:\Windows\System32\wbem\WMIC.exe shadowcopy where "ID={GUID}" delete

Taktik ini memastikan korban tidak dapat melakukan pemulihan data lokal, sekaligus memaksa mereka menanggapi permintaan tebusan dalam waktu maksimal lima hari atau data akan dipublikasikan.

Karena Gunra menyimpan kunci RSA hanya di memori dan tidak melakukan komunikasi eksternal, aktivitasnya sulit dideteksi dari lalu lintas jaringan. Namun, ada beberapa indikator yang bisa diwaspadai:

• Jumlah thread sistem meningkat drastis.
• Terjadi penghapusan Shadow Copy melalui WMIC.
• File berekstensi .ENCRT muncul bersama catatan tebusan.

Beberapa langkah mitigasi penting meliputi:

• Menonaktifkan akses RDP jika tidak diperlukan.
• Melakukan pembaruan rutin pada sistem dan perangkat lunak VPN.
• Mengaktifkan solusi endpoint detection (EDR).
• Memastikan backup dilakukan secara terpisah dan tidak terhubung langsung ke jaringan utama.

Gunra menunjukkan bahwa kode sumber yang bocor masih bisa dimanfaatkan untuk melancarkan serangan yang merugikan. Kombinasi enkripsi cepat, penghapusan cadangan, dan tekanan negosiasi membuatnya menjadi ransomware berbahaya yang dapat melumpuhkan aktivitas bisnis dalam waktu singkat.

Penting bagi setiap organisasi untuk memperkuat pertahanan sistem, menerapkan praktik keamanan yang disiplin, dan melatih karyawan untuk mengenali tanda-tanda awal serangan siber demi mengurangi risiko serupa di masa mendatang.