Yurei Ransomware: A Nova Ameaça que Democratizou o Cibercrime

O cenário de cibersegurança foi surpreendido no início de setembro de 2025 com a emergência de um novo grupo de ransomware conhecido como Yurei. Em apenas quatro dias, este grupo passou de uma única vítima no Sri Lanka para três organizações comprometidas em diferentes continentes, demonstrando uma velocidade de expansão alarmante que merece atenção imediata da comunidade de segurança cibernética.

Neste artigo do blog Dolutech, vamos analisar profundamente as características técnicas, táticas e implicações dessa nova ameaça que está mudando as regras do jogo no mundo dos ataques de ransomware.

O que é o Ransomware Yurei?

Yurei, que significa “espírito” no folclore japonês, foi primeiro observado em 5 de setembro de 2025, quando direcionou uma empresa de manufatura de alimentos do Sri Lanka como sua primeira vítima. O nome não é coincidência – assim como os espíritos no folclore japonês, este ransomware aparece silenciosamente e causa destruição significativa.

O que torna o Yurei particularmente preocupante é sua natureza de “copy-paste”. A Dolutech descobriu através de pesquisas que o ransomware é derivado com apenas modificações menores do Prince-Ransomware, uma família de ransomware de código aberto escrita em Go. Essa descoberta levanta questões importantes sobre como ferramentas de código aberto estão sendo weaponizadas por cibercriminosos.

Arquitetura Técnica: Como o Yurei Opera

Linguagem de Programação e Estrutura

O Yurei foi desenvolvido na linguagem Go (Golang), uma escolha estratégica que oferece várias vantagens para desenvolvedores de malware:

• Compilação cruzada para diferentes plataformas operacionais
• Dificuldade de detecção por alguns fornecedores de antivírus tradicionais
• Facilidade de desenvolvimento comparado ao C/C++
• Performance otimizada para operações de I/O intensivas

Metodologia Criptográfica Avançada

O Yurei implementa uma combinação robusta de algoritmos criptográficos, utilizando ChaCha20 para encriptação simétrica de alta performance, gerando chave e nonce únicos para cada arquivo. O processo funciona da seguinte forma:

Algoritmo ChaCha20:

• Encriptação simétrica de alta velocidade
• Padrão de encriptação: 1 byte encriptado, 2 bytes não encriptados
• Geração de chave e nonce únicos para maximizar segurança

ECIES (Elliptic Curve Integrated Encryption Scheme):

• Proteção das chaves ChaCha20 usando chave pública do atacante
• Chaves encriptadas armazenadas junto ao conteúdo do arquivo
• Separação por caracteres específicos no formato final

Paralelização e Performance

Diferente da versão original single-threaded do Prince-Ransomware, o Yurei implementa goroutines para encriptar drives concorrentemente, significativamente acelerando o processo de encriptação. Esta otimização permite que o ransomware cause danos massivos em tempo reduzido.

Modelo de Dupla Extorsão: Estratégia de Pressão Múltipla

Nós observamos que o Yurei adota o modelo de dupla extorsão, amplamente utilizado por grupos modernos de ransomware:

Fase 1: Encriptação Sistemática

• Torna arquivos inacessíveis usando ChaCha20
• Adiciona extensão .Yurei aos arquivos comprometidos
• Distribui nota de resgate _README_Yurei.txt

Fase 2: Exfiltração e Chantagem

• Rouba dados sensíveis antes da encriptação
• Ameaça publicação em caso de não pagamento
• Usa o medo de vazamento de dados como principal ponto de pressão, conforme declarado pelo próprio grupo em seu blog

Expansão Geográfica Rápida: Vítimas Confirmadas

Cronologia dos Ataques

5 de setembro de 2025: Midcity Marketing (Pvt) Ltd – Sri Lanka

• Setor: Fabricação e distribuição de alimentos
• Impacto: Empresa dominante na importação de commodities alimentares
• Significância: Primeira vítima, afetando potencialmente cadeias de suprimento

7-9 de setembro de 2025: Empresa Indiana

• Identificação: Não divulgada publicamente por questões de segurança
• Status: Confirmada pelos pesquisadores da Check Point

7-9 de setembro de 2025: thepromisenig.com – Nigéria

• Setor: Ainda não especificado
• Status: Listada no site de vazamentos do grupo

A progressão de uma para três vítimas em apenas quatro dias indica uma operação altamente agressiva, sugerindo testes ativos de ferramentas, possível recrutamento de afiliados e refinamento de procedimentos de extorsão.

Falhas Críticas: A Oportunidade de Recuperação

Volume Shadow Copy Service (VSS)

A falha mais significativa do Yurei é não deletar Volume Shadow Copies, uma funcionalidade crítica que a maioria dos ransomwares implementa. Esta vulnerabilidade oferece uma janela de oportunidade para vítimas com VSS habilitado:

Impacto da Falha:

• Vítimas podem restaurar arquivos sem pagamento
• Recuperação parcial possível através de snapshots
• Demonstra inexperiência dos operadores

Comandos que Outros Ransomwares Utilizam:

vssadmin delete shadows /all /quiet
wmic shadowcopy delete  
bcdedit /set {default} recoveryenabled no

Outras Vulnerabilidades Técnicas

Símbolos Preservados:

• Nomes de função e módulo não removidos do binário, facilitando análise e atribuição por pesquisadores
• Revela claramente origem no Prince-Ransomware

Wallpaper Malfunction:

• Comando PowerShell falha por URL ausente
• Sistema Windows reverte para cor sólida (preto)
• Indica desenvolvimento apressado ou inexperiente

Indicadores de Compromisso (IOCs) e Detecção

Hashes de Malware Confirmados

SHA256: 1ea37e077e6b2463b8440065d5110377e2b4b4283ce9849ac5efad6d664a8e9e
MD5: 32d489eef7cbbdf51dc41d07648d7d8f
SHA1: 570a0e5e82568202d25c951596db8e3f563d8446

Artefatos de Arquivo

• Extensão: .Yurei
• Nota de Resgate: _README_Yurei.txt
• Detecções AV: Kaspersky (Trojan-Ransom.Win32.Encoder.aetn), Microsoft (Trojan:Win32/Wacatac.B!ml)

Democratização do Cibercrime: O Perigo das Ferramentas Open Source

O caso Yurei exemplifica uma tendência preocupante na democratização de ferramentas de ransomware, onde as barreiras para se tornar um operador de ransomware bem-sucedido praticamente desapareceram.

Como o Código Open Source Facilita Ataques

Barreiras Reduzidas:

• Código open source elimina necessidade de desenvolvimento do zero
• Modificações mínimas permitem operações rápidas
• Acelera proliferação de variantes

Implicações para Defesa:

• Dificuldade aumentada de atribuição
• Proliferação acelerada de novos grupos
• Necessidade de defesas proativas contra código reutilizado

Estratégias de Mitigação e Proteção

Medidas Técnicas Específicas

Ativação de Volume Shadow Copy:

• Habilitar VSS em todos os sistemas críticos
• Configurar snapshots automáticos regulares
• Isolar backups de VSS do acesso de rede

Monitoramento de Comportamento:

• Detectar enumeração rápida de arquivos
• Alertas para modificações em massa de arquivos
• Monitorar execução de PowerShell suspeito

Controles de Exfiltração:

• Implementar DLP (Data Loss Prevention)
• Monitorar tráfego de saída anômalo
• Segmentação de rede para dados sensíveis

Exemplo de Implementação de Monitoramento

Para organizações que desejam implementar detecção proativa, recomendamos criar regras SIEM que monitorem:

# Detecção de enumeração de drives suspeita
Get-EventLog Security | Where-Object {$_.EventID -eq 4663 -and $_.Message -like "*drive enumeration*"}

# Monitoramento de modificações em massa
Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4663} | 
Where-Object {$_.Properties[6].Value -like "*.Yurei"}

Preparação para Double-Extortion

A Dolutech recomenda que organizações desenvolvam:

Planos de Comunicação:

• Procedimentos para vazamentos de dados
• Estratégias de gerenciamento de crise reputacional
• Comunicação com stakeholders e reguladores

Procedimentos Legais:

• Consulta jurídica especializada
• Análise de conformidade regulatória
• Preparação para possíveis litígios

Contexto Regional e Atribuição

A análise da Check Point Research sugere baixa confiança na origem marroquina baseada em comentários em árabe no código HTML do site .onion e artefatos de caminho referenciando “satanlockv2”.

Independentemente da origem específica, o importante é reconhecer que o ransomware não está mais confinado a regiões tradicionais – pode emergir de qualquer lugar e se espalhar rapidamente através de ferramentas acessíveis.

Conclusão: O Futuro do Ransomware

O ransomware Yurei representa um marco significativo na evolução das ameaças cibernéticas. Sua capacidade de operadores com habilidades limitadas lançarem campanhas globais em questão de dias marca uma transformação preocupante no ecossistema de cibercrime.

Embora a falha crítica em deletar Volume Shadow Copies ofereça uma oportunidade temporária para vítimas, não devemos subestimar o fato de que o modelo de dupla extorsão continua efetivo mesmo com recuperação parcial de dados.

Para a comunidade de cibersegurança, o caso Yurei enfatiza a necessidade urgente de estratégias de proteção multicamadas que vão além de backups tradicionais. Organizações devem investir em proteção contra exfiltração de dados, monitoramento comportamental avançado e preparação específica para cenários de dupla extorsão.

A conexão com código open source também destaca a importância crítica de monitorar repositórios de ferramentas ofensivas e desenvolver capacidades de detecção que possam identificar rapidamente novas variantes baseadas em código conhecido.

Nós na Dolutech continuaremos monitorando a evolução do grupo Yurei e outras ameaças emergentes, fornecendo análises técnicas detalhadas para ajudar organizações a se protegerem contra essas ameaças em constante evolução.