Threat Intelligence

Gunra

Auf geleaktem Conti-Code aufgebaut, erpresst Gunra weltweit mit kurzen Fristen – seit 2025 aktiv, mit dokumentiertem Opfer in Deutschland.

Kurz erklärt

Gunra ist eine im April 2025 erstmals beobachtete Ransomware-Gruppe, die auf dem geleakten Quellcode der Conti-Ransomware aufsetzt und sich zu einem vollwertigen Double-Extortion-Betrieb entwickelt hat. Sie verschlüsselt Windows- und (seit Sommer 2025) auch Linux-/ESXi-Systeme und setzt Opfer mit sehr kurzen Zahlungsfristen unter Druck. Betroffen sind Unternehmen weltweit – darunter ein dokumentierter Fall in Deutschland.

Aktiv

Modell

Ransomware/RaaS (mit Affiliates)

Auch bekannt als

Gunra

Gegründet

April 2025 (erste Leak-Site-Opfer)

Entstanden aus

Baut auf dem geleakten Conti-Quellcode auf; kein direkter Nachfolger einer benannten Gruppe

Herkunft

Russischsprachiges Umfeld (vermutet); Herkunftsland unbestätigt

Zielsektoren

Fertigung, Immobilien, Pharma/Gesundheitswesen, IT-/Business-Services

Zielregionen

Global – u. a. USA, Japan, Italien, Argentinien, Ägypten; dokumentiertes Opfer in Deutschland

Typisches Lösegeld

variabel; kurze Zahlungsfristen (Berichten zufolge teils nur ~5 Tage)

Opferzahl

Rund 45 gelistete Opfer; letztes neues Opfer Ende Juni 2026 (Stand: Juli 2026)

File Extensions

.ENCRT

Ransom Note

R3ADM3.txt

Handlungsempfehlungen im Ernstfall

✅ Sofort tun
  • Ruhe bewahren und den Vorfall als Krise behandeln – Geschäftsführung und einen Incident-Response-Dienstleister sofort einbinden.
  • Betroffene Systeme vom Netz isolieren, aber nicht ausschalten – flüchtige Spuren im Arbeitsspeicher bleiben so erhalten.
  • Backups sofort prüfen und offline/schreibgeschützt sichern; ESXi-/Hypervisor-Zugänge gesondert absichern.
  • Vorfall dokumentieren: Zeitpunkte, betroffene Systeme, Ransom-Note (R3ADM3.txt) – wichtig für Forensik und Meldepflichten.
  • Meldepflichten prüfen: DSGVO (72 h), ggf. NIS2 (24 h); BSI und Polizei einbeziehen.
  • 24/7-Incident-Response kontaktieren – je früher, desto begrenzbarer der Schaden.
⛔ Unbedingt vermeiden
  • Nicht vorschnell Lösegeld zahlen – keine Garantie für Entschlüsselung oder Nicht-Veröffentlichung; Zahlungen können sanktions- und strafrechtlich relevant sein.
  • Sich nicht durch die kurzen Zahlungsfristen zu übereilten Entscheidungen drängen lassen.
  • Systeme nicht neu aufsetzen, bevor die Forensik gesichert ist.
  • Nicht allein mit den Angreifern verhandeln – nur über erfahrene IR-/Verhandlungsexperten.
  • Den Vorfall nicht verschweigen oder verzögern – Meldefristen laufen ab Kenntnisnahme.

Bekannte Angriffe

  • VINTAGE HOMESTEAD GmbH (Deutschland, April 2026) – dokumentierter DACH-Fall
  • Weitere Opfer in Fertigung, Immobilien und Pharma weltweit (2025–2026)

Angriffstechniken (TTPs)

  • Initial Access: Phishing und gekaufte Zugänge; Ausnutzung exponierter Dienste.
    • MITRE: T1566, T1078, T1486, T1490
  • Vorgehen: Conti-basierter Encryptor, Löschen von Schattenkopien (Anti-Recovery), separate Linux-/ESXi-Variante mit multithreaded Verschlüsselung.

Technologie & Malware

Basis: geleakter Conti-Quellcode (Windows), zusätzlich eigenständige Linux-/ESXi-Variante (seit Sommer 2025).

Verschlüsselung: hybride Datei-Verschlüsselung (Conti-Abstammung), Endung .ENCRT; die Linux-Variante erlaubt konfigurierbare, teilweise Verschlüsselung für Tempo.

Indicators of Compromise (IOCs)

  • File Extension: .ENCRT
  • Ransom Note: R3ADM3.txt
  • Basis: Conti-Code-Reuse

Was Unternehmen jetzt prüfen sollten

  • Exponierte Dienste und VPN-/Edge-Geräte patchen
  • MFA und Least Privilege durchsetzen
  • ESXi-/Hypervisor-Zugänge härten und überwachen
  • Offline- und unveränderliche (immutable) Backups vorhalten

Wie Argos unterstützt

Das Cyber Defense Center erkennt Verschlüsselungs- und Löschaktivitäten früh; Angriffsflächen-Management schließt exponierte Einfallstore, und im Ernstfall übernimmt Argos Incident Response sowie Behördenmeldungen.