Yurei ransomware csoport
A Check Point Research 2025. szeptember 5-én egy új ransomware csoportot azonosított. A csoport Yurei néven (a japán néphagyományban egyfajta szellem) hirdeti magát, és kezdetben egyetlen áldozatot, egy srí lankai élelmiszergyártó vállalatot publikált darkweb blogján. Az akció első néhány napjában két új áldozatot tettek közzé, egyet Indiából és egyet Nigériából, így szeptember 9-én már összesen három áldozat volt.
A csoport már-már klasszikus kettős zsarolási modellt alkalmaz: titkosítja az áldozat fájljait és kiszivárogtatja az érzékeny adatokat, majd váltságdíjat követel a titkosítás feloldásáért és a megszerzett információk közzétételének elkerüléséért.
A Check Point Research (CPR) megállapította, hogy a Yurei ransomware csak kismértékben különbözik a Prince Ransomware-től, egy Go nyelven írt nyílt forráskódú ransomware családtól. Ez rávilágít arra, hogy a nyílt forráskódú rosszindulatú programok jelentősen csökkentik a belépési korlátokat a kiberbűnözők számára, lehetővé téve még a kevésbé képzett fenyegető szereplők számára is, hogy ransomware-műveleteket indítsanak.
A CPR szerint a Yurei ransomware tartalmaz egy hibát, amely lehetővé teheti a részleges helyreállítást a Shadow Copies segítségével, de a csoport elsősorban az adatlopáson alapuló zsarolásra támaszkodik. Ahogy blogjukban kijelentették, az adatszivárgástól való félelem és következményei jelentik a fő nyomásgyakorló eszközt, amellyel az áldozatokat a váltságdíj fizetésére késztetik.
A fájlok titkosítása a ChaCha20 algoritmus segítségével történik, és a .Yurei kiterjesztést alkalmazza a csoport.
A CPR szerint a Yurei ansomware mögött álló fenyegető szereplő valószínűleg Marokkóból származik.
