Yurei — недавно выявленная группа, распространяющая программу-вымогатель, которая использует модель двойного вымогательства: шифрование корпоративных файлов и последующая эксфильтрация конфиденциальных данных с целью оказания давления на жертв. Первые сведения об активности группы появились 5 сентября 2023 года — первой зафиксированной жертвой стала компания по производству продуктов питания в Шри-Ланке. С тех пор число пострадавших, по сообщениям, выросло до трёх.
Ключевые факты
- Yurei — производная от открытого проекта Prince-Ransomware, реализованного на языке Go с минимальными изменениями.
- Шифрование файлов происходит алгоритмом ChaCha20; к затронутым файлам добавляется расширение .Yurei.
- Для каждого файла генерируются уникальный ключ ChaCha20 и nonce (одноразовый номер), которые затем защищаются с использованием ECIES (интегрированная схема шифрования на основе эллиптической кривой) с применением открытого ключа злоумышленника.
- Группа использует тактику двойного вымогательства: помимо требования выкупа за расшифровку угрожает публичным раскрытием похищенных данных и уничтожением ключей дешифровки при неуплате.
- В исходном коде Yurei отсутствуют надёжные механизмы антианализа и обфускации, что облегчает его обнаружение специалистами по кибербезопасности.
- Критическая уязвимость реализации — невозможность удаления Shadow Copies, созданных Windows Volume Shadow Copy Service (VSS), что даёт значительные шансы на восстановление данных без оплаты выкупа в средах с включёнными VSS и корректными бэкапами.
- Аналитики указывают на возможную связь происхождения атакующей группы с Марокко.
- Операторы Yurei тестировали malware через платформы вроде VirusTotal, что косвенно указывает на низкий уровень их опыта.
Техническая картина атаки
Yurei реплицирует логику Prince-Ransomware, при этом сохраняет относительно простую архитектуру. Основные этапы атаки:
- вторжение в корпоративную инфраструктуру (точные вектора входа не всегда раскрываются);
- эксфильтрация конфиденциальных данных;
- локальное шифрование файлов с ChaCha20, для каждого файла генерируется отдельный ключ и nonce;
- защита этих ключей посредством ECIES с использованием публичного ключа злоумышленников;
- потребность выкупа и угроза публикации данных в случае отказа.
Отсутствие надёжного антианализа и обфускации в коде делает образцы Yurei более доступными для детектирования и анализа. Кроме того, неспособность удалять VSS-тени даёт организациям реальный шанс на восстановление.
Операционная тактика и поведение злоумышленников
Yurei действует по уже типичной для современных групп-сценарию: использование open-source проектов как основы снижает барьер входа, позволяя менее квалифицированным акторам запускать атаки с высокой степенью разрушения. Кроме того, применение двойного вымогательства — шифрование + утечка — повышает давление на жертву и шансы получить выплату.
«Появление Yurei демонстрирует, что распространение open-source malware расширяет круг возможных злоумышленников и делает атаки более частыми» — комментируют аналитики по кибербезопасности.
Что это значит для организаций
Появление Yurei подчёркивает несколько важных трендов и конкретных рисков:
- низкий порог входа для киберпреступников при наличии открытых исходников вредоносного ПО;
- рост популярности модели двойного вымогательства, ориентированной на кражу данных и публичный шантаж;
- важность корректной настройки VSS и стратегии резервного копирования — в ряде случаев это может позволить восстановить данные без выкупа;
- необходимость мониторинга активности в публичных сервисах (например, попытки тестирования образцов в VirusTotal) как косвенного индикатора подготовки к атакам.
Рекомендации по защите
Чтобы уменьшить риск успешной атаки Yurei и подобных программ-вымогателей, организациям следует принять комплекс мер:
- регулярно делать и проверять резервные копии, хранить их офлайн или в изолированной среде;
- обеспечить корректную работу VSS и регулярное тестирование восстановления из теневых копий;
- внедрить многослойную защиту: EDR, антивирусы с поведенческим анализом, IDS/IPS и сегментацию сети;
- ограничить права доступа (least privilege) и использовать MFA для удалённого доступа;
- обучать персонал фишинг-угрозам и процедурам реагирования на инциденты;
- создать и отрабатывать план реагирования на инциденты, включая коммуникацию и юридические аспекты при утечке данных.
Вывод
Yurei — очередное напоминание о том, что распространение open-source вредоносного ПО удешевляет и упрощает запуск атак, а модель двойного вымогательства остаётся эффективным методом давления на организации. В то же время технические недоработки в реализации, такие как неспособность удалить VSS-тени и отсутствие сложных механизмов антианализа, дают защитникам реальные точки для восстановления и обнаружения. Комплексный подход к кибербезопасности и проактивные меры по резервированию и мониторингу остаются ключевыми в защите от подобных угроз.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Yurei: двойное вымогательство на базе Prince-Ransomware и ChaCha20".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.