.png)
há 1 mês
15
O Yurei ransomware surgiu em setembro de 2025 e chamou atenção pela combinação de execução em Go e criptografia com o algoritmo ChaCha20. O grupo adota o modelo de dupla extorsão, criptografando arquivos e exfiltrando dados sensíveis. A primeira vítima confirmada foi uma fabricante de alimentos no Sri Lanka, em 5 de setembro. Dias depois, organizações na Índia e na Nigéria também foram listadas.
Leia também
KillSec Ransomware em ataques ao setor de saúde no Brasil e região
AsyncRAT usa loader fileless para evitar detecção
Embora utilize técnicas avançadas de paralelismo em Go para enumerar e criptografar discos, a base do Yurei deriva do projeto de código aberto Prince-Ransomware, o que levanta dúvidas sobre a sofisticação real do grupo. Para cada arquivo, o malware gera uma chave e nonce aleatórios ChaCha20, que são então protegidos via ECIES com a chave pública do atacante. Os arquivos comprometidos recebem a extensão .Yurei.
Pesquisadores da Check Point identificaram que o binário mantém símbolos de depuração herdados do builder original, revelando funções como Yurei_encryption_generateKey e Yurei_filewalker_EncryptAllDrivesAndNetwork, o que facilitou a engenharia reversa. Apesar disso, a adoção da linguagem Go dificulta a detecção por antivírus mais antigos.
O ransomware ainda executa comandos PowerShell para alterar o papel de parede da máquina, mas falha por não conter URL válida. Outro ponto fraco é a incapacidade de remover Volume Shadow Copies (VSS), permitindo que vítimas recuperem arquivos caso o recurso esteja habilitado. No entanto, os dados exfiltrados permanecem expostos ao risco de vazamento.
Especialistas alertam que, apesar de falhas operacionais, o Yurei representa ameaça relevante por combinar criptografia rápida, exfiltração e expansão agressiva em múltiplos setores. Organizações devem monitorar extensões .Yurei, reforçar controles de saída (egress) e validar snapshots de VSS como medida preventiva.
English (US) · 
Portuguese (BR) ·