Productos FTTH
Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
3898
)
-
▼
mayo
(Total:
595
)
-
Aprende Linux con estos 4 juegos
-
ASUS ROG NUC 16: el mini-PC definitivo
-
Nueva vulnerabilidad escalada local de privilegios...
-
Grafana Labs reconoce que atacantes descargaron su...
-
Vulnerabilidades críticas de n8n exponen nodos a R...
-
Microsoft confirma error 0x800f0922 en actualizaci...
-
Atacantes de NGINX Rift actúan rápido contra servi...
-
Google Maps Lite: la versión ligera de 20 MB
-
TanStack evalúa restringir las solicitudes de pull...
-
Nuevo Zero-Day 'MiniPlasma' de Windows permite acc...
-
Robot supera a mecánicos cambiando neumáticos
-
Creador de OpenClaw gastó 1,3 millones de dólares ...
-
Malware Fast16, precursor de Stuxnet, alteró simul...
-
Forza Horizon 6 carga en 4 segundos gracias a Adva...
-
Siri borrará tus conversaciones automáticamente
-
Guitarra con IA que crea música al tocar
-
Cuatro paquetes maliciosos de npm roban claves SSH...
-
Mozilla advierte al Reino Unido: anular las VPN no...
-
ChatGPT vs apps financieras: así funciona su asesor
-
Resident Evil 3.5 en Unreal Engine 5
-
Google Project Zero revela exploit zero-click para...
-
Un millón de sitios de WordPress afectados por fal...
-
Debian 13.5: actualización de Trixie
-
Intel Panther Lake-R, así será versión de CPU más ...
-
EEUU rechaza centros de IA y nucleares cerca de casa
-
Primer exploit de memoria del Apple M5 hallado con...
-
Los fabricantes chinos como CXMT (DDR5 a 8.000 MT/...
-
Feliz cumpleaños, láser: la luz coherente, digna d...
-
Rivales del MacBook Neo: hardware potente y dudas ...
-
Cisco revela una nueva vulnerabilidad 0-day de esc...
-
Dentistas usan IA para encarecer tratamientos
-
Apagón urbano para alimentar la IA
-
Imágenes JPEG maliciosas podrían causar vulnerabil...
-
IA vs Médicos: ¿Quién diagnostica mejor?
-
Fallo de RCE en Claude Code permite ejecutar coman...
-
Operadores de 2FA usan phishing de OAuth para salt...
-
Usan rootkit OrBit para robar credenciales SSH y S...
-
Crean una NVIDIA RTX 3070 con hardware de AMD y ad...
-
Linus Torvalds afirma que los detectores de errore...
-
Vulnerabilidades de OpenClaw Chain exponen 245.000...
-
Análisis de REMUS Infostealer: Robo de Sesiones, M...
-
Gunra Ransomware expande operaciones RaaS tras dej...
-
Nuevo fallo en actualización de Windows 11
-
Turla transforma el backdoor Kazuar en una botnet ...
-
OpenAI acusa a Apple de sabotear ChatGPT en los iP...
-
El Intel Core i9-14900KF bate un récord mundial al...
-
Codex llega a ChatGPT móvil
-
La huelga de Samsung se hace realidad, más de 45.0...
-
Gemini solo para Android premium con 12 GB de RAM
-
Filtran nuevos mandos de Xbox
-
Tycoon2FA vulnera cuentas de Microsoft 365 mediant...
-
ChatGPT ahora gestiona tu dinero
-
Acelera internet desactivando este ajuste de Windows
-
Google Live Translate llegaría al modo offline
-
Claude Code revisa el código antes de entregarlo
-
Crackean Pragmata sin hipervisor
-
Samsung lanza One UI 9 Beta
-
Microsoft advierte que atacantes usan agente de HP...
-
Todo sobre el Galaxy S27
-
Intel prepara su APU más bestia con Razor Lake-AX:...
-
Cuatro vulnerabilidades en OpenClaw permiten el ro...
-
Project Helix: uniendo Windows y Xbox desde 2016
-
Filtración de token de GitHub en Grafana permitió ...
-
ASUS entra al mercado de la memoria RAM con su pri...
-
Intel prepara una tercera subida del 20% en sus Xe...
-
Xbox Series X superaría a PS5 en FSR 4.1
-
Apple planea AirPods con IA y cámaras
-
Programadores advierten que la IA atrofia el cerebro
-
Microsoft detalla la arquitectura modular y botnet...
-
ASUS ROG Crosshair 2006: llamativa placa base que ...
-
Explotan vulnerabilidad 0-day en Cisco Catalyst SD...
-
Expertos en seguridad dudan que los atacantes de C...
-
OpenAI confirma brecha de seguridad por ataque de ...
-
Windows 11 y Microsoft Edge, hackeados en Pwn2Own ...
-
Privacidad de tus archivos en NotebookLM
-
Windows 11 mantiene una app de Windows 95
-
ChatGPT busca gestionar tus finanzas
-
Ninguna IA vence al ajedrez
-
Gmail reduce espacio de 15 a 5 GB en cuentas nuevas
-
Vulnerabilidad crítica de Next.js expone credencia...
-
Google presenta la función Puntero mágico para tra...
-
Explotan vulnerabilidad CVE-2026-42897 en Microsof...
-
Meta agota agua en Georgia y apunta a Talavera
-
Vulnerabilidad crítica en el plugin Funnel Builder...
-
CISA incluye la vulnerabilidad CVE-2026-20182 de C...
-
Aprovechan vulnerabilidad de bypass de autenticaci...
-
ChatGPT ahora es tu gestor financiero
-
Explotados Zero-Days de Microsoft Exchange, Window...
-
Grupo Sandworm pasan de sistemas IT a activos OT c...
-
Grupos chinos vulneran sector energético vía Micro...
-
ClickFix evoluciona con proxy SOCKS5 de Python de ...
-
Fallo crítico de Linux ‘ssh-keysign-pwn’ expone cl...
-
PSN: Cuentas vulnerables pese a seguridad avanzada
-
Bienvenidos al vulnpocalipsis, donde la IA acelera...
-
Apple critica la normativa de IA de la UE
-
Subnautica 2 triunfa pese a conflictos internos
-
Explotan 0-day en PAN-OS de Palo Alto para ejecuta...
-
OpenAI amenazaría con demandar a Apple
-
Vulnerabilidad crítica en plugin de WordPress ➡️ F...
-
Cisco alerta sobre vulnerabilidad crítica de SD-WA...
-
-
▼
mayo
(Total:
595
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Noctua presenta el nuevo ventilador NF-A12x25 G2 chromax.black , que combina un diseño elegante en negro con la máxima refrigeración y baj... -
Un ataque de cadena de suministro a gran escala ha alertado a los desarrolladores de software en todo el mundo, después que comprometieran ... -
Microsoft busca incrementar la velocidad de Windows 11 hasta un 40% mediante el nuevo modo de baja latencia de la CPU "LLP" , el...
Gunra Ransomware expande operaciones RaaS tras dejar el cifrador de Conti
El ransomware Gunra ha pasado rápidamente de ser una amenaza nueva a convertirse en un problema global grave, afectando a docenas de organizaciones en menos de un año.
El grupo que está detrás no solo cifra datos, sino que también gestiona una operación similar a una empresa que vende accesos, filtra archivos robados y recluta socios para propagar su malware. Para quienes defienden sus sistemas, esto no es una campaña aislada, sino un ecosistema en maduración que sigue evolucionando.
Observado por primera vez en abril de 2025, Gunra se dirigió inicialmente a cinco empresas en Corea del Sur, llamando la atención por la velocidad y el enfoque de sus primeros ataques.
En aquella etapa, el grupo dependía de un bloqueador de ransomware basado en Conti, reutilizando código y técnicas de una familia antigua y notoria.
Incluso entonces, los ataques mostraron una planificación cuidadosa, con una actividad alineada en gran medida con el horario comercial en Asia y ráfagas concentradas de actividad del operador por la mañana.
Esta postura de objetivos abiertos significa que el daño potencial puede extenderse a muchos sectores, y pueden surgir nuevas marcas que técnicamente sean Gunra bajo un nombre diferente, tal como S2W dijo en un informe compartido con Cyber Security News (CSN).
Con el tiempo, Gunra dejó de utilizar el bloqueador basado en Conti y pasó plenamente a un modelo de Ransomware como Servicio (RaaS), donde los afiliados alquilan las herramientas y comparten los beneficios de cada ataque.
A medida que el grupo se expandía en este ecosistema RaaS, los analistas de S2W documentaron cómo la actividad, que se había ralentizado a finales de 2025, volvió a dispararse una vez que se unieron nuevos afiliados y comenzaron a ejecutar sus propias campañas.
El Ransomware Gunra expande sus operaciones RaaS
Hasta el 9 de marzo de 2026, se habían confirmado un total de 32 organizaciones víctimas, lo que demuestra la rapidez con la que escaló la amenaza una vez que se implantó el modelo de servicio.
La investigación de S2W señala que los operadores de Gunra realizan casi toda su actividad a través de foros de la dark web que permiten contenido relacionado con el ransomware.
El grupo mantiene la promoción pública al mínimo, prefiriendo publicar en espacios controlados como RAMP, Rehub, Tierone y Darkforums, donde reclutan afiliados, contratan evaluadores de penetración y venden datos comprometidos.
.webp)
Este perfil bajo hace que Gunra sea más difícil de rastrear, pero también indica una estrategia deliberada a largo plazo en lugar de ataques rápidos de "golpe y huida".
El impacto general no se limita a un solo sector o geografía, ya que Gunra no impone límites estrictos sobre a quién pueden atacar sus socios.
A diferencia de algunos programas RaaS que evitan hospitales o infraestructuras críticas, las reglas internas de Gunra no establecen industrias prohibidas separadas, y cualquier restricción sobre los países objetivo parece ser flexible y estar ligada a la región de origen del afiliado.
El paso de un bloqueador basado en Conti al propio ransomware de Gunra es fundamental para entender cómo el grupo expandió sus operaciones RaaS.
Inicialmente, apoyarse en el código establecido de Conti dio a los operadores una forma rápida de lanzar ataques, pero también impuso límites a cuánto podían personalizar sus herramientas y las funciones del panel.
Una vez que desarrollaron su propio ransomware y lo integraron en un panel alojado, Gunra pudo controlar todo, desde las opciones de compilación hasta los flujos de trabajo de negociación.
En el modelo RaaS descrito por S2W, Gunra proporciona un panel basado en la web que los afiliados utilizan para gestionar ataques, rastrear víctimas y manejar los pagos.
Este panel expone funciones como Negociación, Archivos, Herramienta de Bloqueo, Gestor y Configuración de Marca, ofreciendo a los afiliados un tablero sencillo para ejecutar sus operaciones.
El operador no se limita a entregar las herramientas, sino que participa directamente en la negociación con las víctimas, lo que sugiere que un equipo central supervisa las partes más sensibles de cada extorsión.
El constructor de Gunra es compatible tanto con sistemas Windows como Linux, lo que permite a los afiliados generar cargas útiles que se adapten a sus objetivos preferidos.
S2W observa que las compilaciones de Windows coinciden con muestras anteriores, mientras que las de Linux tienen parámetros de ejecución, registros, lógica de cifrado actualizados e incluso cambios en partes donde se habían encontrado debilidades criptográficas.
Estos cambios demuestran que el grupo está refinando activamente su código, cerrando brechas y ajustando el rendimiento basándose en análisis anteriores.
A medida que la oferta RaaS maduró, la presencia de Gunra en la dark web se volvió más estructurada. Los operadores promocionan su programa en foros especializados en ransomware y filtraciones de datos, pero evitan el marketing estridente y confían en el boca a boca y los contactos privados para incorporar nuevos socios.
S2W identificó al menos a un usuario que se cree que es un afiliado de Gunra después de que dicho usuario publicara datos de la misma víctima que el operador principal, lo que sugiere una red creciente de actores semi-independientes.
Ecosistema en expansión y respuesta de los defensores
Las reglas internas de Gunra no muestran límites estrictos sobre las industrias objetivo, lo que amplía la superficie de amenaza para organizaciones de todos los tamaños.
Los países prohibidos, si los hay, se aplican de forma flexible según la ubicación de cada afiliado, dando a los socios libertad para elegir objetivos que se ajusten a sus propias zonas de confort o acceso regional.
Además, la función de Configuración de Marca permite a los afiliados lanzar ataques bajo su propia marca de ransomware, aunque el código y la infraestructura subyacentes pertenezcan a Gunra.
Este modelo de marca blanca significa que los defensores pueden encontrarse con nuevos nombres de ransomware que son, en realidad, Gunra bajo el capó, con infraestructura compartida y técnicas superpuestas.
A medida que se registran más afiliados, el ecosistema puede generar rápidamente múltiples marcas, cada una con su propio sitio de filtraciones, estilo de extorsión y conjunto de víctimas.
Para los equipos de seguridad, esto hace que la atribución sea más difícil y aumenta el riesgo de que una amenaza “nueva” sea en realidad una antigua disfrazada.
S2W recomienda que las organizaciones refuercen su visibilidad sobre la actividad de la dark web, ya que los operadores y afiliados de Gunra se anuncian, reclutan y comercian con datos robados principalmente en estos foros.
El monitoreo regular de las comunidades favorables al ransomware puede ayudar a detectar signos tempranos de interés en un sector o región determinados, y puede revelar cuándo se ofrecen a la venta datos robados de una organización específica.
El informe también advierte que, debido a que Gunra no exime a los sectores críticos, entidades como hospitales y proveedores de infraestructura deben mantener una vigilancia máxima.
Otra recomendación clave es rastrear las marcas de ransomware emergentes que comparten marcadores técnicos con Gunra, especialmente cuando esas marcas aparecen repentinamente en la dark web sin un linaje claro.
Dado que los afiliados pueden crear sus propias marcas a través del panel de Gunra, los defensores deben tratar los nombres nuevos con sospecha si muestran un comportamiento, infraestructura o herramientas similares.
Con el tiempo, construir un mapa de estas relaciones ayudará a los equipos de respuesta a comprender cómo están vinculados los ataques y quién podría estar operando entre bastidores.
Finalmente, el informe de S2W destaca la importancia de combinar los controles de seguridad tradicionales con inteligencia de amenazas centrada en ecosistemas de ransomware como Gunra.
Esto significa no solo parchear sistemas y aplicar controles de acceso estrictos, sino también suscribirse a fuentes de inteligencia, participar en el intercambio de información y mantenerse al día sobre cómo los grupos RaaS evolucionan sus tácticas.
Al tratar a Gunra como un ecosistema continuo en lugar de una sola familia de malware, las organizaciones pueden prepararse mejor para la próxima ola de afiliados y campañas rebranded.
Indicadores de Compromiso (IoCs):-
| Tipo | Indicador | Descripción |
|---|---|---|
| URL | https://s2w.inc/en/resource/detail/10571/5 | Página de recursos del informe de ransomware Gunra de S2W |
| URL | https://s2w.inc/en/resource/detail/10572/5 | Análisis del panel y la actividad del ransomware Gunra de S2W |
| URL | https://s2w.inc/en/resource/detail/10573/5 | Sección de mitigación y binarios del ransomware Gunra de S2W |
| URL | https://s2w.inc/en/resource/detail/10574/5 | Página de índice de recursos de S2W relacionada con Gunra |
| URL | https://s2w.inc/en/resource/detail/10575/5 | Página legal y de pie de página del informe de Gunra de S2W |
Nota: Las direcciones IP y los dominios han sido "desactivados" intencionalmente (por ejemplo, [.]) para evitar la resolución accidental o el hipervínculo. Reactívalos únicamente dentro de plataformas de inteligencia de amenazas controladas como MISP, VirusTotal o tu SIEM.
Fuentes:
https://cybersecuritynews.com/gunra-ransomware-expands-raas-operations/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.