В подпольном мире программ-вымогателей регулярно появляются новые группы, однако далеко не все из них представляют собой высокоорганизованные структуры. История семейства Yurei, впервые замеченного в сентябре 2025 года, наглядно демонстрирует, как современные угрозы могут рождаться из открытого исходного кода и набора общедоступных хакерских утилит. Исследование компании Team Cymru, позволившее обнаружить и детально изучить сервер операторов этой группы, проливает свет на полный цикл атаки - от первоначального доступа до шифрования данных и удаления следов. Этот кейс особенно важен для специалистов по безопасности, поскольку раскрывает типовой набор инструментов, который всё чаще используют не только новички, но и опытные группы для автоматизации и масштабирования атак.
Описание
Yurei относится к так называемым программам-вымогателям с двойным шантажом (double extortion). Это означает, что злоумышленники не только шифруют файлы жертвы, но и угрожают опубликовать похищенные конфиденциальные данные на специальном сайте в сети Tor, если выкуп не будет уплачен. По данным аналитиков Check Point, вредоносное ПО является форком (ответвлением) открытого проекта Prince Ransomware, написанного на языке Go. Это типичный пример тенденции, когда менее опытные преступники берут за основу готовые разработки, модифицируя их под свои нужды. Любопытной деталью стало происхождение первых образцов: все они были впервые загружены в сервис VirusTotal из Марокко, а один из файлов не содержал идентификатора тикета, что может указывать на тестовую сборку, возможно, загруженную самими разработчиками.
Несмотря на наличие собственного сайта для утечек, активность группы выглядит довольно низкой. Согласно анализу сайта, проведённому проектом RansomwareLive, с момента его появления в сентябре 2025 года на нём было перечислено всего три жертвы. Однако это не означает, что группа бездействовала. Ключевое открытие было сделано в период с декабря 2025 по январь 2026 года, когда специалисты Team Cymru обнаружили два открытых каталога на IP-адресах 44.210.101[.]86 и 44.223.40[.]182. Используя собственную систему сбора данных, усиленную NetFlow-аналитикой, исследователи выявили набор файлов, работающих на 8000-м порту. Анализ имён этих файлов позволил полностью восстановить последовательность действий злоумышленников при проведении атаки, от первоначального проникновения до нанесения финального ущерба.
Первоначальный доступ, по оценкам исследователей, с средней степенью уверенности мог осуществляться с использованием похищенных учётных данных. На сервере были обнаружены ZIP-архивы с названиями, характерными для пакетов данных, которые киберпреступники покупают на подпольных рынках. Эти пакеты обычно содержат логи инфостилеров - вредоносных программ, крадущих пароли и cookies с заражённых компьютеров. После получения доступа операторы Yurei приступали к разведке внутренней сети. Для этого они использовали такие инструменты, как многофункциональный сканер SoftPerfect NetScan, утилиту NetExec (nxc.exe) для перечисления общих ресурсов и пользователей, а также поисковый инструмент Everything.exe для мгновенного нахождения файлов с чувствительными ключевыми словами. Также применялся специальный PowerShell-скрипт Host_Discovery.ps1 для внутреннего сканирования.
Важным этапом атаки является кража и эскалация привилегий. На сервере были найдены инструменты Rubeus и скрипт Invoke-TheHash.ps1. Rubeus - это набор утилит для работы с протоколом Kerberos, позволяющий, например, проводить атаки Kerberoasting для получения хэшей паролей учётных записей служб. Invoke-TheHash используется для выполнения тактики "Pass-the-Hash" (PtH), когда атакующий, имея хэш пароля, может аутентифицироваться на удалённых системах без знания самого пароля в открытом виде. Для обеспечения постоянного доступа (persistence) операторы держали на сервере легитимную программу для удалённого администрирования AnyDesk, которую часто используют в качестве бэкдора, и инструмент winPEAS, предназначенный для поиска уязвимостей для повышения привилегий в системе.
Особого внимания заслуживает скрипт под названием FixingIssues2.ps1, целиком посвящённый уклонению от систем защиты. Его основная задача - точечное отключение встроенного антивируса Windows Defender. Скрипт добавляет в исключения Defender целые диски и системные каталоги, отключает все основные функции мониторинга в реальном времени, защиту от перезаписи файлов (IOAV) и мониторинг поведения. Кроме того, он выполняет команду для удаления всех теневых копий томов (Volume Shadow Copy), которые часто являются последней надеждой на восстановление данных после атаки вымогателя, и редактирует реестр для отключения функции "Восстановление системы" через групповые политики.
Для перемещения по сети злоумышленники использовали классический инструмент PsExec из набора Sysinternals, а также PowerShell-скрипт Invoke-SMBExec.ps1, который является реализацией известного инструмента Impacket SMBExec и позволяет выполнять команды на удалённых хостах. Финальная стадия атаки - воздействие (impact) - была представлена тематическим скриптом Vecna.ps1, названным в честь антагониста из сериала "Очень странные дела". Этот скрипт создаёт скрытый триггер в репозитории инструментария управления Windows (WMI), который обеспечивает автоматический запуск файла StrangerThings.exe с правами администратора при каждом запуске проводника. Анализ этого файла показал, что он и является исполняемым файлом вымогателя Yurei. Также на сервере присутствовала утилита SDelete от Microsoft, предназначенная для безопасного стирания данных. В руках злоумышленников она может использоваться для уничтожения следов деятельности и затруднения расследования.
Интересно, что среди файлов был обнаружен файл с именем "w.exe", которое, по данным таких организаций, как CISA, Sophos и других, часто ассоциируется с вымогателем Akira. Это потенциально указывает на возможные связи или заимствование инструментов между разными преступными группами, что является распространённой практикой в подполье. Анализ сервера Yurei наглядно показывает, как современные киберпреступники, даже не обладая глубокими навыками разработки, могут создать опасную операцию, комбинируя открытое вредоносное ПО, легитимные системные утилиты и скрипты для автоматизации. Многие из обнаруженных инструментов внесены в открытую базу знаний "Матрица инструментов программ-вымогателей" (Ransomware Tool Matrix), что позволяет командам аналитиков угроз и охотникам за угрозами эффективнее выстраивать защиту, фокусируясь на блокировке и обнаружении конкретных тактик. История Yurei служит ещё одним напоминанием о критической важности мониторинга открытых портов, анализа сетевого трафика и проактивного поиска индикаторов компрометации в корпоративных сетях до того, как атака достигнет своей разрушительной фазы.
Индикаторы компрометации
SHA256
- 1facf7cdd94eed0a8a11b30f4237699385b20578339c68df01e542d772ccbce5
- 26f51df1a12230b6bb583f3003c102a79106b049f89d9b9d43c6e85e072bd99e
- 4f88d3977a24fb160fc3ba69821287a197ae9b04493d705dc2fe939442ba6461
- ebfe75ab3223b036a4b886d497f2b172425b3e63890d485c99353773d4c436ea
