Yurei: новая группа вымогателей демонстрирует угрозу доступного ransomware

Название Yurei отсылает к призракам из японского фольклора, однако анализ ранних отправок образцов вредоносного ПО в VirusTotal указывает на возможное марокканское происхождение группы. Среди первых жертв вымогателя оказались пищевая компания из Шри-Ланки, а также организации в Индии и Нигерии.

Технический анализ показал, что Yurei написан на языке программирования Go, что предоставляет авторам вредоносного ПО кросс-платформенные возможности, упрощает разработку и создает сложности для обнаружения многими антивирусными инструментами. Однако разработчики допустили грубую ошибку, характерную для новичков - не удалили отладочные символы из бинарных файлов. Это позволило исследователям установить, что Yurei представляет собой лишь слегка модифицированную версию открытого фреймворка Prince-Ransomware, который ранее использовался другими группами злоумышленников.

После шифрования файлов Yurei оставляет на зараженных системах файл с требованиями выкупа _README_Yurei.txt, направляя жертв на сайт в сети Tor для переговоров с использованием предоставленного токена доступа. Злоумышленники обещают предоставить инструменты для дешифрования и отчеты об уязвимостях после оплаты, а также позволяют вести переговоры о стоимости восстановления данных, их удаления и гарантиях неразглашения.

Вредоносная программа включает функции перечисления файлов, параллельного шифрования и мониторинга новых подключенных сетевых ресурсов для расширения зоны воздействия. При этом Yurei содержит серьезный недостаток - он не удаляет теневые копии Windows (Volume Shadow Copy Service), которые представляют собой автоматические резервные копии, обычно являющиеся первоочередной целью для ransomware. Это означает, что при наличии таких копий жертвы могут просто восстановить файлы из резервных копий без необходимости платить выкуп, что дополнительно указывает на пробелы в навыках атакующих. Защитники могут легко нейтрализовать эту угрозу, обеспечив регулярное тестирование и активацию службы теневого копирования томов или других решений резервного копирования.

Хотя Yurei не демонстрирует технической изощренности, скорость его развертывания и использование открытого кода показывают, насколько просто современным угрозам получить старт, что именно и делает подобные угрозы опасными и непредсказуемыми.

Yurei может не быть самым продвинутым или изощренным программой-вымогателем, но он служит ярким примером того, как открытое вредоносное ПО - даже с некоторыми недостатками - позволяет новым и неопытным злоумышленникам наносить реальный ущерб. Для защитников положительным моментом является то, что многие слабые места Yurei можно обнаружить и потенциально нейтрализовать, а ключевым фактором остается готовность. Своевременное использование правил YARA, мониторинг подозрительной активности и артефактов, а также использование современных платформ безопасности позволяют организациям оставаться на шаг впереди развивающихся угроз.

SHA256

• 49c720758b8a87e42829ffb38a0d7fe2a8c36dc3007abfabbea76155185d2902
• 53397d36cab0a32695a50d179f289fa61fc946591bd97355ee98d350f7652079
• 754865527bc33305d8dc89a88ffada71fa0180fe778e2106d5faa8e7a8801220
• 89a54d3a38d2364784368a40ab228403f1f1c1926892fe8355aa29d00eb36819
• c88b1ceb27808f3228b3bdaee819b1d4806ca4262ec9dde84160b08c7733c4c5