Gunra ist eine im April 2025 erstmals beobachtete Ransomware-Gruppe, die auf dem geleakten Quellcode der Conti-Ransomware aufsetzt und sich zu einem vollwertigen Double-Extortion-Betrieb entwickelt hat. Sie verschlüsselt Windows- und (seit Sommer 2025) auch Linux-/ESXi-Systeme und setzt Opfer mit sehr kurzen Zahlungsfristen unter Druck. Betroffen sind Unternehmen weltweit – darunter ein dokumentierter Fall in Deutschland.
Aktiv
Ransomware/RaaS (mit Affiliates)
Gunra
April 2025 (erste Leak-Site-Opfer)
Baut auf dem geleakten Conti-Quellcode auf; kein direkter Nachfolger einer benannten Gruppe
Russischsprachiges Umfeld (vermutet); Herkunftsland unbestätigt
Fertigung, Immobilien, Pharma/Gesundheitswesen, IT-/Business-Services
Global – u. a. USA, Japan, Italien, Argentinien, Ägypten; dokumentiertes Opfer in Deutschland
variabel; kurze Zahlungsfristen (Berichten zufolge teils nur ~5 Tage)
Rund 45 gelistete Opfer; letztes neues Opfer Ende Juni 2026 (Stand: Juli 2026)
.ENCRT
R3ADM3.txt
Basis: geleakter Conti-Quellcode (Windows), zusätzlich eigenständige Linux-/ESXi-Variante (seit Sommer 2025).
Verschlüsselung: hybride Datei-Verschlüsselung (Conti-Abstammung), Endung .ENCRT; die Linux-Variante erlaubt konfigurierbare, teilweise Verschlüsselung für Tempo.
Das Cyber Defense Center erkennt Verschlüsselungs- und Löschaktivitäten früh; Angriffsflächen-Management schließt exponierte Einfallstore, und im Ernstfall übernimmt Argos Incident Response sowie Behördenmeldungen.