Yurei es un nuevo y emergente grupo de ransomware que fue detectado por primera vez el 5 de septiembre pasado, cuando atacó a una empresa de fabricación de alimentos en Sri Lanka como su primera víctima pública.
Este grupo sigue un modelo de doble extorsión, cifrando los archivos de la víctima y extrayendo datos confidenciales para luego exigir un rescate tanto para el descifrado como para evitar la publicación de la información robada.
Una investigación de Check Point Research (CPR) reveló que el ransomware de Yurei se deriva del Prince-Ransomware, una familia de ransomware de código abierto escrita en Go, con solo pequeñas modificaciones.
Esto subraya cómo el malware de código abierto reduce la barrera de entrada para los ciberdelincuentes, facilitando que incluso actores menos expertos puedan lanzar operaciones de ransomware.
Aunque el ransomware de Yurei presenta una vulnerabilidad que permitiría la recuperación parcial de datos mediante instantáneas, la presión principal para que las víctimas paguen reside en el miedo a la exposición de sus datos confidenciales.
Desde que fue detectado, Yurei aumentó rápidamente sus víctimas, sumando tres casos confirmados hasta principios de septiembre, con indicios de que los atacantes podrían estar operando desde Marruecos.
Origen y naturaleza del ransomware Yurei
El ransomware Yurei se bautiza con un nombre vinculado al folclore japonés, de un espíritu o fantasma, y usa un blog en la darknet para listar sus víctimas y mostrarlas públicamente mediante pruebas, como capturas de pantalla de documentos internos comprometidos.
Este método de exhibición y extorsión permite también a las víctimas entrar en contacto con los atacantes a través de una interfaz de chat segura, donde pueden negociar el pago del rescate.
La naturaleza del malware está ligada a su programación en lenguaje Go, que si bien no es exclusivo en el desarrollo de malware, presenta desafíos para la detección en algunos antivirus.
El uso de Go facilita la compilación cruzada en distintas plataformas y simplifica el desarrollo comparado con lenguajes como C o C++, por eso es atractivo para desarrolladores maliciosos.
Además, el actor detrás de Yurei cometió el error técnico de no eliminar los símbolos en el binario compilado, lo que permitió descubrir que emplea principalmente el código del Prince-Ransomware con modificaciones menores.
Este mismo código ha sido reutilizado por otros grupos, como CrazyHunter, enfatizando un fenómeno creciente de reutilización de malware de código abierto para ataques cibernéticos.
Estrategia de extorsión y negociación de Yurei
Una vez que la víctima es afectada, se le envía un archivo de nota de rescate denominado README_Yurei.txt, en el cual se instruye al usuario a visitar un sitio web .onion.
En esta página, que funciona en la red Tor para garantizar el anonimato, la víctima ingresa un token de acceso para acceder a un chat seguro y negociar con los atacantes.
El objetivo de esta negociación es establecer el monto del rescate para obtener la herramienta de descifrado que Yurei promete tras el pago.
Además, el grupo ofrece un reporte sobre las vulnerabilidades explotadas en el ataque, funcionando casi como un informe de prueba de penetración, una táctica que busca ganar credibilidad y animar al pago.
La negociación incluye garantías sobre la eliminación de los datos robados y la abstención de publicar la información confidencial, lo que demuestra la evolución de las tácticas delictivas hacia modelos más profesionales y estructurados.
Esta doble extorsión, combinando secuestro y amenaza de fuga de información, es una práctica habitual que potencia las chances de obtener un rescate.
La rápida aparición de nuevas víctimas indica que Yurei está escalando su actividad y consolidándose como una nueva amenaza en el ecosistema del ransomware.
Implicancias del uso de ransomware de código abierto
El caso de Yurei demuestra cómo el ransomware de código abierto reduce las barreras técnicas para los atacantes, permitiendo que actores con menos experiencia puedan lanzar campañas complejas de ransomware.
El uso de proyectos como Prince-Ransomware, disponible públicamente en plataformas como GitHub, facilita la proliferación de variantes con pequeñas modificaciones.
Esta tendencia preocupa porque multiplica el número de actores maliciosos y la diversidad de ataques, complicando la detección y generación de defensas efectivas.
Aunque algunas técnicas permiten la recuperación parcial de datos, la base del modelo de Yurei se apoya en la extorsión y la amenaza pública, hechos que aumentan la presión sobre las víctimas para pagar.
Los expertos en ciberseguridad advierten que esta dinámica, impulsada por la disponibilidad de código abierto, representa un cambio significativo en la forma en que operan los grupos de ransomware.
Además, la conexión probable con Marruecos añade un contexto geopolítico a esta amenaza, demostrando la globalización de estas operaciones delictivas.
En este contexto, la comunidad de ciberseguridad debe fortalecer la cooperación internacional y las estrategias de mitigación para enfrentar estos desafíos.
