IT-Security Aktuelle Ransomware-Bedrohung „Yurei“ ist ein Open-Source-Projekt

Anbieter zum Thema

WatchGuard Technologies GmbH

Impossible Cloud GmbH

XOPERO SOFTWARE S.A.

„Yurei“, ein Begriff aus der japanischen Folklore für „rastlose Geister“, hinterlässt ratlose Admins. Die neue Ransomware-Gruppe vermeldet erste Opfer auf einer Leak-Seite im Darknet.

Am 5. September 2025 hat Check Point Research die Gruppe erstmals entdeckt, wie das Unternehmen mitteilt. Bereits in der ersten Woche konnte demnach Yurei drei Unternehmen auf seiner Leak-Seite im Darknet aufführen:

• Ein Lebensmittelhersteller aus Sri Lanka wurde als erstes Opfer kompromittiert. Hier zielten die Angreifer auf kritische Produktions- und Lieferketteninformationen, deren Veröffentlichung weitreichende Folgen für die Versorgungssicherheit und die Markenreputation hätte.

• Nur wenige Tage später folgte ein weiteres Unternehmen aus Indien, dessen interne Finanz- und Geschäftsdaten entwendet wurden. Diese Informationen können nicht nur für Erpressung, sondern auch für Wirtschaftsspionage genutzt werden.

• Als drittes Opfer wurde ein regionales Dienstleistungsunternehmen in Nigeria angegriffen. Hier droht die Offenlegung von Kunden- und Vertragsdaten, was potenziell schwerwiegende rechtliche und finanzielle Konsequenzen nach sich ziehen könnte.

Open-Source-Code senkt die Einstiegshürden

Die technische Basis der Angriffe verdeutlicht laut den Experten bei Check Point eine gefährliche Entwicklung: Yurei nutze demnach nahezu unverändert den öffentlich verfügbaren Code des Open-Source-Projekts „Prince-Ransomware“, der in der Programmiersprache Go geschrieben wurde. Diese frei zugängliche Codebasis senkt die Hürden für Cyber-Kriminelle drastisch. „Sie müssen keine eigene Schadsoftware entwickeln, sondern können den bestehenden Code mit nur minimalen Anpassungen übernehmen und innerhalb weniger Tage eine funktionsfähige Ransomware-Kampagne starten“, heißt es aus dem Security-Unternehmen.

Check Point Research konnte im Code sogar noch nicht entfernte Symboltabellen nachweisen. Das sei ein klarer Hinweis darauf, dass die Angreifer den offenen Quell-Code nahezu unverändert übernommen haben. Dies mache deutlich, wie leicht selbst wenig erfahrene Täter mit vorhandenen Bauplänen schnell operativ werden können.

Doppelter Erpressungsansatz mit Fokus auf Datendiebstahl

Yurei folgt dem klassischen Double-Extortion-Modell und setzt das Opfer gleich doppelt unter Druck:

• Dateiverschlüsselung: Die Schadsoftware verschlüsselt Dateien auf allen Laufwerken parallel mit dem ChaCha20-Algorithmus und versieht sie mit der Endung „.Yurei“.

• Exfiltration sensibler Daten: Noch wichtiger als die Verschlüsselung ist jedoch der Diebstahl vertraulicher Informationen. Yurei droht damit, diese Daten zu veröffentlichen, um die Opfer zur Zahlung zu zwingen.

Obwohl die Malware einen technischen Mangel aufweist – auf Systemen mit aktivierten Windows Shadow Copies lassen sich nach Angaben von Check Point teilweise Daten wiederherstellen – bleibt die Gefahr erheblich. Denn selbst wenn die Opfer ihre Dateien aus Backups rekonstruieren können, bleibt die Erpressung durch die Androhung einer Datenveröffentlichung ein wirksames Druckmittel.

Mögliche Herkunft aus Marokko

Innerhalb weniger Tage hat Yurei seine Angriffe auf mehrere Kontinente ausgeweitet. Erste Hinweise, darunter VirusTotal-Uploads aus Marokko und ein arabischer Kommentar im HTML-Code der Darknet-Seite, deuten mit geringer Sicherheit auf einen Ursprung in Marokko hin, so die Experten von Check Point Research. Unabhängig von der genauen Herkunft zeige dieser Fall, dass Ransomware heutzutage weltweit und ohne geografische Einschränkungen entstehen kann.

(ID:50564623)