Uma nova ameaça surgiu no cenário do ransomware com a descoberta do ransomware Yurei, identificado publicamente pela primeira vez no início de setembro de 2025.
Este malware baseado em Go segue um modelo típico de operação de ransomware, infiltrando-se em redes corporativas, criptografando dados críticos, excluindo backups e exigindo resgate por informações roubadas.
O grupo opera por meio de um dark web site dedicado, onde entra em contato com as vítimas e negocia condições de pagamento com base na situação financeira de cada empresa-alvo.
As vítimas conhecidas dos ataques de ransomware Yurei incluem organizações no Sri Lanka e na Nigéria, com alvos principais nos setores de transporte e logística, software de TI, marketing e publicidade e indústrias de alimentos e bebidas.
Ao contrário de muitas operações modernas de ransomware, não há evidências claras que liguem Yurei aos modelos de Ransomware como serviço ou à colaboração com outros grupos de crimes cibernéticos.
Os atores da ameaça calculam os pedidos de resgate caso a caso, após analisarem a situação financeira da vítima, embora os valores específicos do resgate não tenham sido divulgados publicamente.
Os pesquisadores de segurança da ASEC identificaram que o ransomware Yurei se destaca por sua sofisticada abordagem de criptografia.
O malware usa o algoritmo ChaCha20-Poly1305 para criptografia de arquivos, gerando uma chave de 32 bytes e um nonce de 24 bytes como valores aleatórios.
Essas chaves de criptografia são então protegidas usando o método secp256k1-ECIES com uma chave pública incorporada, garantindo que apenas o agente da ameaça que possui a chave privada correspondente possa descriptografar os arquivos.
Site DLS do ransomware Yurei (Fonte – ASEC)
Esse design de criptografia de camada dupla torna a descriptografia não autorizada praticamente impossível sem o pagamento do resgate.
Mecanismo de criptografia de arquivos
O processo de criptografia começa com Yurei verificando o sistema infectado para identificar todas as unidades disponíveis e possíveis alvos de criptografia.
O ransomware exclui deliberadamente diretórios críticos do sistema, como Windows, System32 e Arquivos de Programas, para evitar falha completa do sistema.
Ele também ignora arquivos com extensões como .sys, .exe, .dll e .Yurei (seu próprio marcador de arquivo criptografado) para evitar criptografar novamente arquivos já comprometidos.
Os arquivos são criptografados em unidades de bloco de 64 KB usando ChaCha20-Poly1305, com a chave criptografada e o nonce armazenados no início de cada arquivo usando o “||” delimitador.
O método de criptografia secp256k1-ECIES empregado por Yurei usa Elliptic Curve Diffie-Hellman para criar um segredo compartilhado, que é então transformado por meio de uma função de derivação de chave para servir como chave de criptografia AES-GCM.
Um nonce temporário gerado aleatoriamente garante resultados de criptografia diferentes a cada vez, evitando que as vítimas tentem a recuperação independente.
A nota de resgate, salva como “_README_Yurei.txt”, ameaça excluir a chave de descriptografia e vazar dados roubados, incluindo bancos de dados, documentos financeiros e informações pessoais na dark web, se as vítimas não responderem dentro de cinco dias.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas, defina CSN como fonte preferencial no Google.
