Yurei Ransomware: mecânica de criptografia, modelo operacional e métodos de exfiltração de dados – Against Invaders

Yurei Ransomware: mecânica de criptografia, modelo operacional e métodos de exfiltração de dados - Against Invaders

Um grupo de ransomware recentemente identificado, Yurei, emergiu como uma ameaça significativa para organizações em todo o mundo, com ataques confirmados visando entidades no Sri Lanka e na Nigéria em vários setores críticos.

Primeiro publicamente identificado no início de setembro de 2025, Yurei opera um modelo tradicional de ransomware como extorsão, infiltrando-se em redes corporativas, criptografando dados confidenciais, destruindo sistemas de backup e aproveitando um dark web site dedicado para extorquir pagamentos das vítimas.

Yurei segue um modelo de operação de ransomware convencional, mas eficaz, projetado para maximizar a extração financeira de organizações comprometidas.

O modus operandi do grupo envolve a infiltração inicial na rede, seguida pela criptografia sistemática de arquivos críticos e pela destruição deliberada da infraestrutura de backup para eliminar opções de recuperação.

Essa abordagem dupla força as vítimas a escolhas impossíveis de pagar o resgate ou correr o risco de perda permanente de dados.

O grupo mantém um dark web site dedicado à comunicação e negociação das vítimas, uma marca registrada das operações profissionais de cibercriminosos. Notavelmente, não há evidências que sugiram que Yurei opere como um Ransomware como serviço plataforma ou colabora com outros atores de ameaças, indicando que o grupo mantém controle exclusivo sobre suas operações sem reformulação de marca ou modificação de famílias de ransomware existentes.

As exigências de resgate são calculadas caso a caso, com os agentes da ameaça avaliando a capacidade financeira de cada vítima para determinar os valores ideais de extorsão.

No entanto, a gama específica de pagamentos exigidos permanece não divulgada, sugerindo uma variação significativa dependendo do tamanho da organização-alvo e da capacidade de pagamento percebida.

Setor e segmentação geográfica

A campanha de ataque de Yurei demonstra um foco claro em sectores economicamente valiosos. Os alvos principais incluem transporte e logística, software de TI, marketing e publicidade e indústrias de alimentos e bebidas.

O método de criptografia foi projetado para evitar que o agente da ameaça exponha diretamente a chave usada na criptografia, protegendo-a com os métodos ECDH e AES-GCM.

Estes sectores foram seleccionados estrategicamente, provavelmente devido à sua dependência operacional da disponibilidade contínua de dados e de recursos financeiros significativos para pagar resgates.

A segmentação geográfica centrou-se no Sri Lanka e na Nigéria, embora as capacidades técnicas globais do grupo sugiram que a expansão para outras regiões continua provável.

Yurei ransomware representa um esforço sofisticado de desenvolvimento de ransomware, escrito inteiramente na linguagem de programação Go.

O malware emprega uma rotina simplificada de preparação de criptografia que evita operações desnecessárias no nível do sistema todos os dias em outras variantes de ransomware, como alterações de permissão, criação de mutex ou rotinas de descriptografia de string. Essa abordagem focada na eficiência minimiza as oportunidades de detecção e acelera a execução de ataques.

O ransomware implementa o algoritmo ChaCha20-Poly1305 para criptografia primária de arquivos, gerando chaves aleatórias de 32 bytes e valores nonce de 24 bytes para cada arquivo.

Yurei implementa mecanismos de exclusão inteligentes para evitar a destruição do sistema e manter a acessibilidade da rede.

Esses parâmetros críticos de criptografia são então protegidos usando a criptografia secp256k1-ECIES com a chave pública incorporada do agente da ameaça, garantindo que apenas o invasor que possua a chave privada correspondente possa descriptografar os arquivos da vítima.

O processo de criptografia opera em unidades de bloco de 64 KB, com chaves criptografadas e nonces prefixados antes dos dados criptografados reais.

Esta estrutura evita que as vítimas acedam aos seus dados através de meios alternativos, mantendo a segurança criptográfica através da criptografia de curva elíptica.

Salvaguardas Operacionais

O malware exclui 19 diretórios, incluindo Sistema Windows pastas, arquivos de programas e partições de recuperação.

Além disso, 14 extensões de arquivo são protegidas, incluindo arquivos críticos do sistema (.exe, .dll, .sys) e marcadores específicos de Yurei (extensão .Yurei).

Sete nomes de arquivos específicos permanecem criptografados, incluindo arquivos de configuração de inicialização e a própria nota de resgate (_README_Yurei.txt), garantindo que as vítimas possam acessar a comunicação de resgate, mantendo a funcionalidade mínima do sistema para negociações de extorsão.

A nota de resgate de Yurei aumenta a pressão através de múltiplos vetores de ameaça. O grupo afirma ter excluído todos os backups acessíveis, roubado dados críticos, incluindo bancos de dados e registros financeiros, e ameaça a rápida exposição ou venda de dados em mercados da dark web.

A nota alerta que tentativas de recuperação de vítimas ou serviços de recuperação de terceiros podem causar corrupção permanente de dados. A pressão adicional inclui ameaças de informar os organismos reguladores e os concorrentes no prazo de cinco dias, a menos que as negociações sejam iniciadas, criando uma urgência artificial para conduzir decisões de pagamento mais rápidas.

Essa abordagem técnica e psicológica abrangente posiciona Yurei como uma ameaça emergente formidável que requer atenção organizacional imediata para fortalecimento da rede, redundância de backup e preparação para resposta a incidentes.

Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.