Nova variante de ransomware Yurei utiliza automação PowerShell e cifra ChaCha20

BR Defense Center (By River de Morais e Silva)
ransomware

Uma nova variante de ransomware, chamada Yurei, foi identificada no cenário de cibercrime, com seu primeiro ataque registrado em 5 de setembro de 2025, visando uma empresa de alimentos no Sri Lanka. O grupo, que se expandiu rapidamente para vítimas na Índia e Nigéria, adota um modelo de dupla extorsão, criptografando dados e exfiltrando arquivos sensíveis para pressionar as vítimas durante as negociações de resgate.

Desenvolvido na linguagem Go, o ransomware Yurei se inspira no projeto open-source Prince-Ransomware, mas apresenta melhorias significativas, como o uso do modelo de concorrência do Go para acelerar a criptografia. Ele utiliza a cifra ChaCha20 para criptografar arquivos, gerando chaves únicas para cada um. No entanto, uma falha crítica herdada de seu predecessor é a não remoção das Cópias de Sombra de Volume, permitindo que as vítimas possam restaurar dados sem pagar o resgate.

O Yurei também faz uso de scripts PowerShell para alterar o fundo de tela do desktop, embora tenha falhas que expõem a falta de refinamento no desenvolvimento. A nota de resgate, que orienta as vítimas a usar um portal .onion para negociações, reflete a tendência dos operadores de ransomware em se comportar como prestadores de serviços de penetração, misturando crime e extorsão com consultoria. A origem do grupo pode estar relacionada ao Marrocos, com indícios de infraestrutura conectada a variantes anteriores de ransomware.

Fonte: https://cyberpress.org/yurei-ransomware-variant/

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
15/09/2025 • Risco: ALTO
RANSOMWARE

Nova variante de ransomware Yurei utiliza automação PowerShell e cifra ChaCha20

RESUMO EXECUTIVO
O ransomware Yurei, com suas táticas de dupla extorsão e uso de técnicas de automação, representa uma ameaça significativa para empresas brasileiras, especialmente em setores críticos. A falta de remoção das Cópias de Sombra de Volume pode oferecer uma oportunidade de recuperação, mas o risco de vazamento de dados ainda é elevado.

💼 IMPACTO DE NEGÓCIO

Financeiro
Custos potenciais associados a resgates e recuperação de dados.
Operacional
Criptografia de dados e exfiltração de arquivos sensíveis.
Setores vulneráveis
['Alimentos e manufatura', 'Tecnologia da informação']

📊 INDICADORES CHAVE

Primeira vítima em 5 de setembro de 2025. Indicador
Expansão rápida para vítimas na Índia e Nigéria. Contexto BR
Uso de cifra ChaCha20 para criptografia. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar a presença de Cópias de Sombra de Volume e a segurança de backups.
2 Implementar medidas de segurança para proteger sistemas contra ransomware.
3 Monitorar atividades suspeitas e tentativas de acesso não autorizado.

🇧🇷 RELEVÂNCIA BRASIL

Os CISOs devem se preocupar com a crescente sofisticação dos ataques de ransomware, especialmente com a possibilidade de vazamento de dados sensíveis que pode impactar a conformidade com a LGPD.

⚖️ COMPLIANCE

Implicações na conformidade com a LGPD devido ao potencial vazamento de dados.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).