Selon CYFIRMA, un nouveau ransomware baptisé Yurei a été observé pour la première fois en septembre 2025, avec des victimes dans le secteur agroalimentaire au Sri Lanka. Le malware, écrit en Go, cible les systèmes Windows et opère une double extorsion via des canaux de négociation .onion sur Tor. L’analyse suggère des similarités structurelles avec le projet Prince-Ransomware et des artefacts de compilation liés à un environnement « SatanLockerV2 ».
Yurei exécute une chaîne d’attaque multi-étapes:
- Désactivation de la restauration et des sauvegardes via PowerShell (vssadmin, wbadmin) pour supprimer les Shadow Copies et catalogues de sauvegarde.
- Effacement des journaux d’événements Windows et des logs système (Get-ChildItem → Remove-Item) avec manipulation d’horodatages.
- Propagation latérale via l’énumération des partages SMB, infection de supports amovibles avec des binaires déguisés (WindowsUpdate.exe, System_Backup.exe), et mouvements latéraux par exécution distante à l’aide d’enveloppes C# pour CIM et de techniques de type PsExec.
- Déploiement de notes de rançon README_Yurei.txt contenant des liens .onion et des identifiants de ticket.
Le chiffrement est réalisé par fichier avec des clés et nonces ChaCha20 uniques, chaque clé symétrique étant encapsulée via une clé publique ECIES intégrée. Le format d’en-tête personnalisé inclut wrapped_key || nonce || délimiteur 0x7c7c || ciphertext, traité par blocs de 2 Mo. Les fichiers chiffrés reçoivent l’extension .Yurei, et le ransomware s’attache à maximiser la vitesse tout en durcissant la récupération et l’analyse.
Les capacités anti-forensiques sont étendues: destruction des copies de sauvegarde, effacement des journaux, et routine selfDestruct avec effacement sécurisé en trois passes (écritures aléatoires cryptographiques de 1 Mo), double renommage, nettoyage MFT, et purge mémoire via garbage collection forcé et réécriture du tas. L’ensemble vise à inhiber la récupération et entraver les investigations.
TTPs (MITRE ATT&CK):
- T1486 (Data Encrypted for Impact), T1490 (Inhibit System Recovery), T1070 (Indicator Removal), T1047 (WMI), T1027 (Obfuscation).
IOCs et artefacts:
- Extensions et fichiers: .Yurei, README_Yurei.txt, WindowsUpdate.exe, System_Backup.exe.
- Hash: SHA256 4f88d3977a24fb160fc3ba69821287a197ae9b04493d705dc2fe939442ba6461.
- Infra et liens: canaux de négociation Tor .onion.
- Artefacts de build: indices pointant vers un environnement « SatanLockerV2 ».
Type d’article: analyse de menace visant à documenter les capacités, TTPs et IoCs de Yurei pour la veille et la réponse aux incidents.
🧠 TTPs et IOCs détectés
TTPs
T1486 (Data Encrypted for Impact), T1490 (Inhibit System Recovery), T1070 (Indicator Removal), T1047 (WMI), T1027 (Obfuscation)
IOCs
SHA256 4f88d3977a24fb160fc3ba69821287a197ae9b04493d705dc2fe939442ba6461, .Yurei, README_Yurei.txt, WindowsUpdate.exe, System_Backup.exe, canaux de négociation Tor .onion
🔗 Source originale : https://www.cyfirma.com/research/yurei-ransomware-the-digital-ghost/