Yurei ransomware: инструментарий новой кампании двойного вымогательства

Yurei ransomware: новая кампания двойного вымогательства с набором знакомых инструментов

Yurei ransomware стала заметной киберугрозой после первого появления в сентябре 2025 года. По данным исследования, эта кампания работает по модели double extortion: злоумышленники не только шифруют данные, но и угрожают их публикацией. К началу 2026 года у операторов уже был запущен Tor-сайт утечки данных, однако число жертв оставалось относительно небольшим, что указывает на раннюю стадию развития операции.

Согласно отчету, Yurei ransomware основана на открытом проекте Prince Ransomware, написанном на Go. Исследователи также указывают на возможную связь с SatanLockv2 из-за общих строк пути PDB, обнаруженных в коде. Анализом инфраструктуры и инструментария занималась команда Cymru, которая подробно реконструировала этапы атаки.

Как начинается атака

По оценке исследователей, первоначальный доступ, вероятнее всего, был получен с помощью украденных учетных данных. На это указывают ZIP-файлы, содержащие журналы stealer-программ. Такой подход позволяет злоумышленникам входить в инфраструктуру жертвы без немедленного использования эксплойтов и снижает вероятность раннего обнаружения.

После проникновения операторы переходят к разведке внутри сети. Для этого используются инструменты, позволяющие быстро построить карту инфраструктуры и выявить ценные цели:

• SoftPerfect NetScan;
• NetExec;
• Everything.exe.

Эти утилиты помогают определить активные узлы, сетевые ресурсы и потенциально чувствительные данные, которые могут быть использованы на следующих этапах атаки.

Кража учетных данных и закрепление в сети

На этапе кражи учетных данных в арсенале Yurei был обнаружен Rubeus. Этот инструмент широко используется для работы с Kerberos и может применяться в сценариях AS-REP roasting и Kerberoasting. В наборе также присутствует Invoke-TheHash — PowerShell-скрипт, поддерживающий атаки pass-the-hash и позволяющий выполнять удаленные операции без ввода пароля.

Для закрепления в инфраструктуре злоумышленники используют и легитимные средства удаленного администрирования. В частности, отмечен AnyDesk, который часто не вызывает немедленных подозрений у традиционных средств защиты. Такой подход помогает сохранять доступ даже после частичного обнаружения инцидента.

Дополнительно в наборе инструментов фигурирует winPEAS, применяемый для повышения привилегий. Это позволяет операторам расширять контроль над целевыми системами и готовить среду к последующему шифрованию.

Сокрытие следов и отключение защиты

Чтобы снизить вероятность обнаружения, операторы Yurei применяют скрипты, нацеленные на ослабление защитных механизмов. Среди них — FixingIssues2.ps1, который используется для управления Windows Defender и отключения его защитных функций. В отчете также упоминается удаление точек восстановления системы с помощью команды vssadmin delete shadows /all /quiet, что усложняет восстановление данных после запуска ransomware.

Помимо этого, в инструментарии обнаружен sdelete — утилита для безопасного удаления файлов, которая может использоваться для уничтожения следов атаки. Еще одна характерная деталь — удаление файла README после шифрования, что также указывает на попытки скрыть артефакты и затруднить анализ инцидента.

Перемещение внутри сети и необычный скрипт Vecna.ps1

Для lateral movement злоумышленники используют PsExec — популярную утилиту для запуска процессов на удаленных системах, а также Invoke-SMBExec.ps1 для удаленного выполнения команд. Эти инструменты позволяют быстро расширять присутствие внутри корпоративной сети и добираться до систем с более ценными данными.

Отдельного внимания заслуживает скрипт Vecna.ps1, вдохновленный сериалом Очень странные дела. По данным анализа, он создает триггер в Windows Management Instrumentation (WMI), который обеспечивает запуск ransomware с непреднамеренными административными привилегиями. Такой механизм демонстрирует не только техническую гибкость операторов, но и стремление автоматизировать запуск вредоносной нагрузки в нужный момент.

Связи с другими ransomware-операциями

Интересной находкой стал файл w.exe, который обычно связывают с Akira ransomware. Его присутствие в окружении Yurei может указывать либо на пересечение используемых инструментов между группами, либо на заимствование отдельных компонентов из уже известных наборов.

В целом исследование показывает, что инструменты Yurei задокументированы в различных базах данных угроз, ориентированных на ransomware. Это подтверждает более широкую тенденцию: злоумышленники все чаще используют open source-проекты и легитимные утилиты для развертывания и сопровождения атак.

Вывод

Анализ инструментария Yurei ransomware демонстрирует, что современная ransomware-операция строится не только на шифровании, но и на комплексной цепочке действий — от кражи учетных данных и разведки до закрепления, повышения привилегий и сокрытия следов. Именно поэтому исследователи подчеркивают важность проактивной threat intelligence: чем раньше обнаруживаются такие кампании, тем выше шанс эффективно противостоять им до перехода к массовому ущербу.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.