Eylül 2025’in başlarında ortaya çıkan Yurei fidye yazılımı, GO tabanlı yürütme ve Chacha20 şifrelemesinin yeni kombinasyonu için hızla dikkat çekti.
İlk olarak 5 Eylül’de bir Sri Lankalı gıda üreticisinin kurban düştüğü belgelendi, Yurei’nin arkasındaki tehdit oyuncusu çift genişlemeli bir model benimsedi: ek kaldıraç için hassas verileri püskürtürken dosyaları şifrelemek.
Birkaç gün içinde, Hindistan ve Nijerya’daki iki kurban daha kamuya açıklandı ve operatörün hızlı genişlemesinin altını çizdi.
Özel araç setleri geliştiren birçok sofistike grubun aksine, Yurei’nin kod tabanı, açık kaynaklı Prens-Ransomware projesine dayanarak saldırganların beceri seviyesi ve kaynakları hakkında sorular soruyor.
Özünde, Yurei, tüm sürücüleri paralel ve CHACHA20 algoritmasıyla şifrelemek için GO’nun eşzamanlılık özelliklerinden yararlanır.
Her dosya için, yeni bir rastgele Chacha20 tuşu ve nonce oluşturulur, daha sonra saldırganın genel anahtarıyla ECIES kullanılarak şifrelenir.
Ortaya çıkan şifre metni, anahtar ve nonce sınırlayıcılarla birleştirilir:-
// Generate random key and nonce
key := generateChaCha20Key()
nonce := generateNonce()
// Encrypt file content
encryptedData := chaCha20Encrypt(content, key, nonce)
// Protect key and nonce with ECIES
protectedKey := eciesEncrypt(key, publicKey)
protectedNonce := eciesEncrypt(nonce, publicKey)
// Store encrypted file
store := protectedKey + "||" + protectedNonce + "||" + encryptedDataCheck Point araştırmacıları, Yurei’nin ikili olarak, Prens-Ransomware Builder’dan miras alınan ve hata ayıklama bilgisini soymayan bir hata olduğunu belirtti.
Bu gözetim, analistlere gibi net işlev adları sağladı. Yurei_encryption_generateKey Ve Yurei_filewalker_EncryptAllDrivesAndNetworktersine mühendislik sürecini düzene koyma.
Gölge kopya kurtarma ve savunma sonuçları
Buna rağmen, Yurei’nin Go kullanımı, bazı eski antivirüs ürünleri için tespiti zorlaştırıyor ve dil seçiminin savunma önlemlerini nasıl etkileyebileceğini gösteriyor.
.webp)
Başarılı şifrelemenin ardından Yurei, PowerShell üzerinden özel bir duvar kağıdı kurmaya çalışır, ancak geçerli bir URL’nin olmaması komutun başarısız olmasına neden olur ve boş bir arka planla sonuçlanır.
Gömülü Powershell Snippet, Prens-Ransomware selefininkini yansıtıyor:-
(New-Object System.Net.WebClient).DownloadFile('', "$env:TEMP\Wallpaper.png")
Add-Type -TypeDefinition @"
using System;
using System.Runtime.InteropServices;
public class Wallpaper {
[DllImport("user32.dll", CharSet=CharSet.Auto)]
public static extern bool SystemParametersInfo(int uAction, int uParam, string lpvParam, int fuWinIni);
}
"@
[Wallpaper]::SystemParametersInfo(20, 0, "$env:TEMP\Wallpaper.png", 3) .webp)
Savunma stratejileri bağlamında, Yurei’nin hacim gölge kopyalarını kaldıramaması kritik bir zayıflık ortaya koymaktadır.
VSS etkin olan kuruluşlar, sızdırılan veriler risk altında olmasına rağmen, fidye ödemeden dosyaları kurtarabilir.
Hızlı şifreleme, veri eksfiltrasyonu ve yarı pişmiş kalıcılık tekniklerinin kombinasyonu düşük çaba ama etkili bir çalışmayı yansıtır.
Yurei farklı sektörleri hedeflemeye devam ederken, güvenlik ekiplerinden farklı dosya uzantısını izlemesi istenir. .Yureibu ortaya çıkan tehdidin etkisini azaltmak için katı çıkış kontrollerini uygulayın ve VSS anlık görüntülerini doğrulayın.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.