Al emerger a principios de septiembre de 2025, el Ransomware Yurei ha llamado la atención rápidamente por su nueva combinación de ejecución basada en GO y cifrado Chacha20.
Documentado por primera vez el 5 de septiembre cuando un fabricante de alimentos de Sri Lanka fue víctima, el actor de amenaza detrás de Yurei adoptó un modelo de doble extensión: cifrar archivos mientras exfiltraba datos confidenciales para apalancamiento adicional.
En cuestión de días, dos víctimas más en India y Nigeria fueron enumeradas públicamente, lo que subraya la rápida expansión del operador.
A diferencia de muchos grupos sofisticados que desarrollan conjuntos de herramientas personalizados, la base de código de Yurei se remonta al proyecto de príncipe-ransomware de código abierto, planteando preguntas sobre el nivel de habilidad y los recursos de los atacantes.
En esencia, Yurei aprovecha las características de concurrencia de GO para enumerar todas las unidades en archivos paralelos y cifrar con el algoritmo Chacha20.
Para cada archivo, se generan una nueva clave y nonce chacha20 aleatorias, luego se cifran usando ECIES con la clave pública del atacante.
El texto cifrado, la clave y el nonce resultantes están concatenados con delimitadores:-
// Generar clave aleatoria y clave Nonce: = generateChacha20key () nonce: = generateNonce () // CiNct File Content Content EncryPtedData: = Chacha20Encrypt (content, Key, Nonce) // Proteger Key y Nonce con ECIECTECTE ProtegedKey + “||” + ProtectedNonce + “||” + Cifradodata
Investigadores de punto de control anotado Que Yurei conserva los símbolos en el binario, un error heredado del constructor de príncipe-ransomware, que no desprendió la información de depuración.
Esta supervisión proporcionó a los analistas nombres de funciones claras como Yurei_encryption_GenerateKey y Yurei_FileWalker_ENCRYPTALLDRIVEAndNetwork, simplificando el proceso de ingeniería inversa.
La recuperación de la copia de la sombra y las implicaciones defensivas
A pesar de esto, el uso de GO de Yurei complica la detección de algunos productos antivirus heredados, ilustrando cómo la elección del lenguaje puede afectar las medidas defensivas.
Sitio de ransomware Yurei el 5 de septiembre (Fuente – Punto de verificación)
Después de un cifrado exitoso, Yurei intenta establecer un fondo de pantalla personalizado a través de PowerShell, aunque la ausencia de una URL válida hace que el comando falle, lo que resulta en un fondo en blanco.
El fragmento de PowerShell incrustado refleja el de su predecesor de príncipe-ransomware:–
(New-object system.net.webclient) .downloadfile (”, “$ env: temp \ wallpaper.png”) add-type -typeDeFinition @”usando System. Usando System.Runtime.inTeropServices; Public Class Wallpaper {(dllImport (” user32.dll “, charset = charset.auto)) public static boolparametersparameters, systemarameters, (intuation, intuation (intuation, intuation, intuation. uparam, string lpvparam, int fuwinini);
En el contexto de las estrategias defensivas, el fracaso de Yurei para eliminar las copias de la sombra de volumen revela una debilidad crítica.
Las organizaciones con VSS habilitado pueden recuperar archivos sin pagar el rescate, aunque los datos filtrados permanecen en riesgo.
La combinación de cifrado rápido, exfiltración de datos y técnicas de persistencia a medias refleja una operación de bajo esfuerzo pero efectivo.
A medida que Yurei continúa dirigiendo a diversos sectores, se insta a los equipos de seguridad a monitorear la extensión distintiva de los archivos .yurei, aplican controles estrictos de salida y validan instantáneas VSS para mitigar el impacto de esta amenaza emergente.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
