Thought Leadership
Eine neue Ransomware-Gruppe namens Yurei – japanisch für “rastlose Geister” – hat binnen weniger Tage Unternehmen in Sri Lanka, Indien und Nigeria angegriffen.
Das berichtet Check Point Research, das die Gruppe am 5. September 2025 erstmals identifizierte. Die Angreifer nutzen nahezu unverändert den öffentlich verfügbaren Code des Open-Source-Projekts Prince-Ransomware.
Drei Kontinente, eine Woche
Die Geschwindigkeit der Yurei-Gruppe ist bemerkenswert. Bereits in der ersten Woche nach ihrer Entdeckung konnte sie drei Unternehmen auf ihrer Leak-Seite im Darknet präsentieren:
Sri Lanka: Ein Lebensmittelhersteller wurde als erstes Opfer getroffen. Die Angreifer erbeuteten kritische Produktions- und Lieferketteninformationen.
Indien: Wenige Tage später folgte ein Unternehmen, dessen interne Finanz- und Geschäftsdaten gestohlen wurden – Material für Erpressung oder Wirtschaftsspionage.
Nigeria: Als drittes Opfer wurde ein regionales Dienstleistungsunternehmen kompromittiert, wobei Kunden- und Vertragsdaten in Gefahr gerieten.
Open Source senkt Einstiegshürden drastisch
Yurei basiert auf dem frei verfügbaren Prince-Ransomware-Code, der in Go geschrieben wurde. Check Point Research fand sogar noch nicht entfernte Symboltabellen im Code, ein deutlicher Hinweis auf die nahezu unveränderte Übernahme.
“Diese frei zugängliche Codebasis senkt die Hürden für Cyber-Kriminelle drastisch”, warnen die Sicherheitsforscher. Selbst wenig erfahrene Täter können so binnen weniger Tage eine funktionsfähige Ransomware-Kampagne starten, ohne eigene Malware entwickeln zu müssen.
Doppelte Erpressung mit Schwachstelle
Yurei folgt dem bewährten Double-Extortion-Schema: Die Malware verschlüsselt Dateien parallel auf allen Laufwerken mit dem ChaCha20-Algorithmus und versieht sie mit der Endung “.Yurei”. Gleichzeitig werden sensible Daten exfiltriert, deren Veröffentlichung angedroht wird.
Einen technischen Mangel weist die Malware allerdings auf: Auf Systemen mit aktivierten Windows Shadow Copies lassen sich teilweise Daten wiederherstellen. Die Erpressung durch angedrohte Datenveröffentlichung bleibt jedoch ein wirksames Druckmittel.
Spur führt möglicherweise nach Marokko
Erste Indizien deuten auf einen möglichen Ursprung in Marokko hin. VirusTotal-Uploads aus dem nordafrikanischen Land und ein arabischer Kommentar im HTML-Code der Darknet-Seite liefern entsprechende Hinweise. Die Beweislage ist jedoch dünn.
Schutzmaßnahmen gegen die neue Bedrohung
Check Point empfiehlt angesichts der schnellen Ausbreitung einen mehrstufigen Schutzansatz:
Ganzheitliche Sicherheitsarchitektur: Integration von Endpunkt-, Netzwerk- und Identitätsschutz, auch für hybride und Multi-Cloud-Umgebungen.
Anti-Phishing skalieren: Automatisierte E-Mail-Analyse, kontinuierliche Mitarbeiter-Trainings und Verhaltensanalysen gegen KI-generierte Angriffe.
Backup-Strategie überdenken: Segmentierte und regelmäßig getestete Backups für schnelle Datenwiederherstellung – wobei dies nicht vor Datenveröffentlichung schützt.
Früherkennung stärken: Threat Hunting und Deception-Technologien zur Identifikation von Angriffen in der Anfangsphase.
(lb/Check Point)
