Hack Alerta

Yurei: nova família de ransomware usa ChaCha20-Poly1305 e secp256k1-ECIES, diz ASEC

Por Redação Hack Alerta Publicado em 17/11/2025 20:01 Cyber ataques Tempo de leitura: 3 min

A ASEC descreve Yurei, família de ransomware em Go identificada em setembro de 2025 que usa ChaCha20-Poly1305 para cifrar arquivos e secp256k1-ECIES para proteger chaves; vítimas foram identificadas no Sri Lanka e na Nigéria e setores incluem transporte, TI e alimentos.

Pesquisadores da ASEC (AhnLab) publicaram análise técnica da família Yurei, um ransomware em Go identificado publicamente em setembro de 2025 e que emprega uma combinação de criptografia simétrica e assimétrica para proteger chaves de arquivo.

Descoberta e modelo operacional

Yurei foi observado atacando organizações em Sri Lanka e Nigéria, segundo a investigação. O grupo mantém um site no dark web para contatar vítimas e negociar pagamentos; a operação calcula demandas de resgate caso a caso após avaliar a situação financeira de cada alvo. A análise não encontrou evidências claras de um modelo Ransomware-as-a-Service ou de parcerias com outros grupos, conforme o relatório.

Mecanismo de criptografia

Tecnicamente, o ransomware usa ChaCha20-Poly1305 para cifrar arquivos, gerando um key de 32 bytes e um nonce de 24 bytes. Esses valores são protegidos com secp256k1-ECIES usando uma chave pública embutida no binário; apenas o ator que detém a correspondente chave privada poderia recuperar as chaves de arquivo, segundo a ASEC.

O processo de criptografia opera em blocos de 64 KB, com o par (key, nonce) armazenado no início de cada arquivo cifrado, delimitado por “||”. O software pula diretórios de sistema críticos (por exemplo, Windows, System32, Program Files) e ignora extensões como .sys, .exe, .dll e o próprio marcador .Yurei para evitar re-encriptação.

Fluxo e chantagem

Além de encriptar arquivos, a gangue afirma coletar dados (databases, documentos financeiros e informações pessoais) e ameaça vazar este material se a vítima não negociar dentro do prazo indicado. A nota de resgate padrão é salva como “_README_Yurei.txt” e inclui a ameaça de apagar a chave de descriptografia e publicar dados em cinco dias, conforme relatório.

Impacto e setores visados

As vítimas confirmadas pertencem principalmente aos setores de transporte e logística, TI/software, marketing e publicidade, e alimentos e bebidas. O relatório não publica contagens agregadas de incidentes nem valores de resgate pagos.

Limitações e recomendações

A ASEC fornece detalhes técnicos do algoritmo e do fluxo de criptografia, mas não divulga chaves privadas, amostras públicas de ransomwares ou IoCs na matéria referenciada. Com base na análise, equipes devem priorizar backups offline imutáveis, segmentação de rede para limitar movimentação lateral e monitoramento de atividade de criação de processos e encriptação em massa. A técnica de proteção de chaves com ECIES torna recuperação sem a chave privada improvável.

Fonte: ASEC (relatada em Cyber Security News).

Baseado em publicação original de Cyber Security News
Tags: #yurei #ransomware #chacha20 #secp256k1 #asec #go #encryption #data-leak #readme-yurei
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar