Μια νέα απειλή εμφανίστηκε στο τοπίο ransomware με την ανακάλυψη του Yurei ransomware, που αναγνωρίστηκε για πρώτη φορά δημόσια στις αρχές Σεπτεμβρίου 2025.
Αυτό το κακόβουλο λογισμικό που βασίζεται στο Go ακολουθεί ένα τυπικό μοντέλο λειτουργίας ransomware διεισδύοντας σε εταιρικά δίκτυα, κρυπτογραφώντας κρίσιμα δεδομένα, διαγράφοντας αντίγραφα ασφαλείας και απαιτώντας λύτρα για κλεμμένες πληροφορίες.
Ο όμιλος λειτουργεί μέσω μιας αποκλειστικής σκοτεινής ιστοσελίδας όπου επικοινωνεί με τα θύματα και διαπραγματεύεται τους όρους πληρωμής με βάση την οικονομική κατάσταση κάθε στοχευόμενης εταιρείας.
Τα γνωστά θύματα των επιθέσεων ransomware Yurei περιλαμβάνουν οργανισμούς στη Σρι Λάνκα και τη Νιγηρία, με πρωταρχικούς στόχους τις μεταφορές και τα logistics, το λογισμικό πληροφορικής, το μάρκετινγκ και τη διαφήμιση και τις βιομηχανίες τροφίμων και ποτών.
Σε αντίθεση με πολλές σύγχρονες λειτουργίες ransomware, δεν υπάρχουν σαφή στοιχεία που να συνδέουν το Yurei με μοντέλα Ransomware as a Service ή συνεργασία με άλλες ομάδες εγκλήματος στον κυβερνοχώρο.
Οι φορείς απειλών υπολογίζουν τις απαιτήσεις για λύτρα κατά περίπτωση, αφού εξετάσουν την οικονομική κατάσταση του θύματος, αν και συγκεκριμένα ποσά λύτρων δεν έχουν αποκαλυφθεί δημόσια.
Ερευνητές ασφαλείας ASEC αναγνωρισθείς ότι το Yurei ransomware ξεχωρίζει για την εξελιγμένη προσέγγιση κρυπτογράφησης.
Το κακόβουλο λογισμικό χρησιμοποιεί τον αλγόριθμο ChaCha20-Poly1305 για κρυπτογράφηση αρχείων, δημιουργώντας ένα κλειδί 32 byte και ένα nonce 24 byte ως τυχαίες τιμές.
Αυτά τα κλειδιά κρυπτογράφησης προστατεύονται στη συνέχεια χρησιμοποιώντας τη μέθοδο secp256k1-ECIES με ένα ενσωματωμένο δημόσιο κλειδί, διασφαλίζοντας ότι μόνο ο παράγοντας απειλής που κατέχει το αντίστοιχο ιδιωτικό κλειδί μπορεί να αποκρυπτογραφήσει αρχεία.
.webp.jpeg)
Αυτός ο σχεδιασμός κρυπτογράφησης διπλού επιπέδου καθιστά την μη εξουσιοδοτημένη αποκρυπτογράφηση σχεδόν αδύνατη χωρίς την καταβολή λύτρων.
Μηχανισμός Κρυπτογράφησης Αρχείων
Η διαδικασία κρυπτογράφησης ξεκινά με τον Yurei να σαρώνει το μολυσμένο σύστημα για να εντοπίσει όλες τις διαθέσιμες μονάδες δίσκου και τους πιθανούς στόχους κρυπτογράφησης.
Το ransomware αποκλείει σκόπιμα κρίσιμους καταλόγους συστήματος όπως τα Windows, System32 και Program Files για να αποτρέψει την πλήρη αποτυχία του συστήματος.
Επίσης, παρακάμπτει αρχεία με επεκτάσεις όπως .sys, .exe, .dll και .Yurei (το δικό του δείκτη κρυπτογραφημένου αρχείου) για να αποφύγει την εκ νέου κρυπτογράφηση αρχείων που έχουν ήδη παραβιαστεί.
Τα αρχεία κρυπτογραφούνται σε μονάδες μπλοκ 64 KB χρησιμοποιώντας το ChaCha20-Poly1305, με το κρυπτογραφημένο κλειδί και το nonce να αποθηκεύονται στην αρχή κάθε αρχείου χρησιμοποιώντας το “||” οριοθέτης.
Η μέθοδος κρυπτογράφησης secp256k1-ECIES που χρησιμοποιείται από τον Yurei χρησιμοποιεί Elliptic Curve Diffie-Hellman για να δημιουργήσει ένα κοινό μυστικό, το οποίο στη συνέχεια μετασχηματίζεται μέσω μιας συνάρτησης παραγωγής κλειδιού για να χρησιμεύσει ως κλειδί κρυπτογράφησης AES-GCM.
Ένα τυχαία δημιουργημένο προσωρινό μηδενικό εξασφαλίζει διαφορετικά αποτελέσματα κρυπτογράφησης κάθε φορά, αποτρέποντας τα θύματα από το να επιχειρήσουν ανεξάρτητη ανάκτηση.
Το σημείωμα λύτρων, που αποθηκεύτηκε ως “_README_Yurei.txt”, απειλεί να διαγράψει το κλειδί αποκρυπτογράφησης και να διαρρεύσει κλεμμένα δεδομένα, συμπεριλαμβανομένων βάσεων δεδομένων, οικονομικών εγγράφων και προσωπικών πληροφοριών στον σκοτεινό ιστό, εάν τα θύματα δεν απαντήσουν εντός πέντε ημερών.
