Yeni tanımlanan fidye yazılımı grubu Yurei, Sri Lanka ve Nijerya’daki birçok kritik sektördeki kuruluşları hedef alan doğrulanmış saldırılarla dünya çapındaki kuruluşlar için önemli bir tehdit olarak ortaya çıktı.
İlk kez Eylül 2025’in başlarında kamuoyuna açıklanan Yurei, kurumsal ağlara sızarak, hassas verileri şifreleyerek, yedekleme sistemlerini yok ederek ve kurbanlardan zorla ödeme almak için özel bir karanlık web sitesinden yararlanarak geleneksel bir gasp olarak fidye yazılımı modelini çalıştırıyor.
Yurei, ele geçirilen kuruluşlardan finansal çıkarımı en üst düzeye çıkarmak için tasarlanmış geleneksel ancak etkili bir fidye yazılımı operasyon modelini izliyor.
Grubun çalışma şekli, ilk ağa sızmayı, ardından kritik dosyaların sistematik olarak şifrelenmesini ve kurtarma seçeneklerini ortadan kaldırmak için yedekleme altyapısının kasıtlı olarak yok edilmesini içeriyor.
Bu çift yönlü yaklaşım, kurbanları fidyeyi ödeme veya kalıcı veri kaybı riskiyle karşı karşıya kalma gibi imkansız seçimlere zorluyor.
Grubun, profesyonel siber suç operasyonlarının ayırt edici özelliği olan kurban iletişimi ve müzakeresi için özel bir karanlık web sitesi bulunmaktadır. Özellikle Yurei’nin Hizmet Olarak Fidye Yazılımı platformu olarak çalıştığını veya diğer tehdit aktörleriyle işbirliği yaptığını gösteren hiçbir kanıt yok; bu da grubun, mevcut fidye yazılımı ailelerini yeniden markalandırmadan veya değiştirmeden operasyonları üzerinde özel kontrol sahibi olduğunu gösteriyor.
Fidye talepleri vaka bazında hesaplanıyor ve tehdit aktörleri her kurbanın mali kapasitesini değerlendirerek optimum gasp miktarlarını belirliyor.
Ancak talep edilen ödemelerin belirli aralığı açıklanmadı; bu da hedef kuruluşun büyüklüğüne ve algılanan ödeme gücüne bağlı olarak önemli farklılıklar olduğunu gösteriyor.
Endüstri ve Coğrafi Hedefleme
Yurei’nin saldırı kampanyası ekonomik açıdan değerli sektörlere net bir şekilde odaklanıldığını gösteriyor. Birincil hedefler arasında ulaşım ve lojistik, BT yazılımı, pazarlama ve reklamcılık ile yiyecek ve içecek endüstrileri yer alıyor.
Şifreleme yöntemi, tehdit aktörünün şifrelemede kullanılan anahtarı ECDH ve AES-GCM yöntemleriyle koruyarak doğrudan açığa çıkarmasını engellemek için tasarlanmıştır.
Bu sektörler, muhtemelen sürekli veri kullanılabilirliğine ve fidye ödemek için önemli mali kaynaklara olan operasyonel bağımlılıkları nedeniyle stratejik olarak seçilmiştir.
Coğrafi hedefleme Sri Lanka ve Nijerya’ya odaklandı, ancak grubun küresel teknik yetenekleri ek bölgelere genişlemenin olası olduğunu gösteriyor.
Yurei fidye yazılımı, tamamen Go programlama dilinde yazılmış, karmaşık bir fidye yazılımı geliştirme çabasını temsil eder.
Kötü amaçlı yazılım, diğer fidye yazılımı türlerinde her gün izin değişiklikleri, muteks oluşturma veya dize şifre çözme rutinleri gibi gereksiz sistem düzeyindeki işlemleri önleyen, kolaylaştırılmış bir şifreleme hazırlama rutini kullanır. Bu verimlilik odaklı yaklaşım, tespit fırsatlarını en aza indirir ve saldırı yürütmeyi hızlandırır.
Fidye yazılımı, birincil dosya şifrelemesi için ChaCha20-Poly1305 algoritmasını uygulayarak her dosya için rastgele 32 baytlık anahtarlar ve 24 baytlık nonce değerleri üretiyor.
Yurei, sistemin bozulmasını önlemek ve ağ erişilebilirliğini sürdürmek için akıllı dışlama mekanizmaları uygular.
Bu kritik şifreleme parametreleri daha sonra tehdit aktörünün yerleşik genel anahtarıyla secp256k1-ECIES şifrelemesi kullanılarak güvence altına alınır ve yalnızca ilgili özel anahtara sahip olan saldırganın kurban dosyalarının şifresini çözebilmesi sağlanır.
Şifreleme işlemi, gerçek şifrelenmiş verilerden önce şifrelenmiş anahtarlar ve nonce’lerin ön eki eklenerek 64 KB blok birimlerinde çalışır.
Bu yapı, eliptik eğri kriptografisi sayesinde kriptografik güvenliği korurken, mağdurların verilerine alternatif yollardan erişmesini de engellemektedir.
Operasyonel Korumalar
Kötü amaçlı yazılım, Windows sistem klasörleri, program dosyaları ve kurtarma bölümleri dahil 19 dizini kapsamaz.
Ayrıca, kritik sistem dosyaları (.exe, .dll, .sys) ve Yurei’ye özgü işaretleyiciler (.Yurei uzantısı) dahil olmak üzere 14 dosya uzantısı korunur.
Önyükleme yapılandırma dosyaları ve fidye notunun kendisi (_README_Yurei.txt) dahil olmak üzere yedi belirli dosya adı şifrelenmiş halde kalıyor ve böylece mağdurların, şantaj görüşmeleri için minimum sistem işlevselliğini korurken fidye iletişimine erişebilmeleri sağlanıyor.
Yurei’nin fidye notu, birden fazla tehdit vektörü aracılığıyla baskıyı artırır. Grup, erişilebilir tüm yedekleri sildiğini, veritabanları ve mali kayıtlar da dahil olmak üzere kritik verileri çaldığını iddia ediyor ve verilerin hızla ifşa edilmesi veya karanlık web pazarlarında satılması tehdidinde bulunuyor.
Not, kurban kurtarma girişimlerinin veya üçüncü taraf kurtarma hizmetlerinin kalıcı veri bozulmasına neden olabileceği konusunda uyarıyor. Ek baskılar arasında, müzakereler başlamadığı sürece düzenleyici kurumları ve rakipleri beş gün içinde bilgilendirme tehdidi yer alıyor; bu da ödeme kararlarının daha hızlı alınmasına yönelik yapay bir aciliyet yaratıyor.
Bu kapsamlı teknik ve psikolojik yaklaşım, Yurei’yi ağ sağlamlaştırma, yedek yedekleme ve olay müdahale hazırlığı için acil kurumsal dikkat gerektiren, ortaya çıkan zorlu bir tehdit olarak konumlandırıyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.