Yurei Ransomware

Check Point Research hat die Gruppe am 5. September 2025 erstmals entdeckt. Bereits in der ersten Woche konnte Yurei drei Unternehmen auf seiner Leak-Seite im Darknet aufführen.

• Sri Lanka: Ein Lebensmittelhersteller wurde als erstes Opfer kompromittiert. Hier zielten die Angreifer auf kritische Produktions- und Lieferketteninformationen, deren Veröffentlichung weitreichende Folgen für die Versorgungssicherheit und die Markenreputation hätte.
• Indien: Nur wenige Tage später folgte ein weiteres Unternehmen, dessen interne Finanz- und Geschäftsdaten entwendet wurden. Diese Informationen können nicht nur für Erpressung, sondern auch für Wirtschaftsspionage genutzt werden.
• Nigeria: Als drittes Opfer wurde ein regionales Dienstleistungsunternehmen angegriffen. Hier droht die Offenlegung von Kunden- und Vertragsdaten, was potenziell schwerwiegende rechtliche und finanzielle Konsequenzen nach sich ziehen könnte.

Diese drei Vorfälle zeigen, wie schnell und global Yurei agiert – und, dass unterschiedliche Branchen und Regionen innerhalb kürzester Zeit ins Visier geraten können.

Open Sourcecode senkt die Einstiegshürden

Die technische Basis der Angriffe verdeutlicht jedoch auch eine gefährliche Entwicklung: Yurei nutzt nahezu unverändert den öffentlich verfügbaren Code des Open-Source-Projekts Prince-Ransomware, der in der Programmiersprache Go geschrieben wurde. Diese frei zugängliche Codebasis senkt die Hürden für Cyber-Kriminelle drastisch. Sie müssen keine eigene Schad-Software entwickeln, sondern können den bestehenden Code mit nur minimalen Anpassungen übernehmen und innerhalb weniger Tage eine funktionsfähige Ransomware-Kampagne starten.

Check Point Research konnte im Code sogar noch nicht entfernte Symboltabellen nachweisen – ein klarer Hinweis darauf, dass die Angreifer den offenen Quell-Code nahezu unverändert übernommen haben. Dies macht deutlich, wie leicht selbst wenig erfahrene Täter mit vorhandenen Bauplänen schnell operativ werden können.

Doppelter Erpressungsansatz mit Fokus auf Datendiebstahl

Yurei folgt dem klassischen Double-Extortion-Modell und setzt das Opfer gleich doppelt unter Druck:

• Dateiverschlüsselung: Die Schad-Software verschlüsselt Dateien auf allen Laufwerken parallel mit dem ChaCha20-Algorithmus und versieht sie mit der Endung „.Yurei“.
• Exfiltration sensibler Daten: Noch wichtiger als die Verschlüsselung ist jedoch der Diebstahl vertraulicher Informationen. Yurei droht damit, diese Daten zu veröffentlichen, um die Opfer zur Zahlung zu zwingen.

Obwohl die Malware einen technischen Mangel aufweist – auf Systemen mit aktivierten Windows Shadow Copies lassen sich teilweise Daten wiederherstellen – bleibt die Gefahr erheblich. Denn selbst wenn die Opfer ihre Dateien aus Backups rekonstruieren können, bleibt die Erpressung durch die Androhung einer Datenveröffentlichung ein wirksames Druckmittel.

Innerhalb weniger Tage hat Yurei seine Angriffe auf mehrere Kontinente ausgeweitet. Erste Hinweise, darunter VirusTotal-Uploads aus Marokko und ein arabischer Kommentar im HTML-Code der Darknet-Seite, deuten mit geringer Sicherheit auf einen Ursprung in Marokko hin. Unabhängig von der genauen Herkunft zeigt dieser Fall, dass Ransomware heutzutage weltweit und ohne geografische Einschränkungen entstehen kann.

Handlungsempfehlungen für Unternehmen

Die schnelle Ausbreitung von Yurei macht deutlich, wie einfach sich Open-Source-Ransomware für Angriffe nutzen lässt. Check Point empfiehlt daher:

• Eine ganzheitliche Sicherheitsarchitektur aufbauen, die Endpunkte, Netzwerke und Identitäten integriert und auch hybride sowie Multi-Cloud-Umgebungen abdeckt.
• Anti-Phishing-Maßnahmen skalieren, inklusive automatisierter E-Mail-Analyse, fortlaufender Awareness-Trainings und Verhaltensanalysen, um auch KI-generierte Lockversuche zu erkennen.
• Backups segmentieren und regelmäßig testen, damit Daten im Notfall schnell wiederhergestellt werden können – auch wenn dies keine Garantie gegen die Veröffentlichung gestohlener Informationen ist.
• Frühzeitige Erkennung durch Threat Hunting und Deception-Technologien einsetzen, um Angriffe bereits in der Anfangsphase zu identifizieren und zu stoppen.

Yurei macht deutlich, dass moderne Ransomware keine hochentwickelte Technik benötigt, um erheblichen Schaden anzurichten. Durch frei zugänglichen Quellcode werden die Einstiegshürden so stark gesenkt, dass auch wenig erfahrene Täter in kürzester Zeit internationale Kampagnen starten können. Die Kombination aus Datendiebstahl und Erpressung erhöht den Druck auf Unternehmen erheblich – selbst dann, wenn eine teilweise Datenwiederherstellung möglich ist.

Organisationen sollten deshalb ihre Sicherheitsstrategien kritisch prüfen, mehrschichtige Schutzkonzepte implementieren und vor allem auf präventive Maßnahmen setzen: von der Segmentierung und regelmäßigen Überprüfung von Backups über die kontinuierliche Überwachung von Netzwerken bis hin zur umfassenden Sensibilisierung der Mitarbeiter. Nur ein vorausschauender, umfassender Ansatz kann das Risiko solcher Angriffe nachhaltig senken.

Check Point Research first discovered the group on September 5, 2025. In the first week alone, Yurei listed three companies on its dark web leak site.

• Sri Lanka: A food manufacturer was the first victim. The attackers targeted critical production and supply chain information here. Disclosing this information would have far-reaching consequences for supply security and brand reputation.
• India: Just a few days later, another company fell victim, and its internal financial and business data was stolen. This information could be used for extortion or industrial espionage.
• Nigeria: A regional service company was attacked, making it the third victim. Here, disclosure of customer and contract data is at risk, which could have serious legal and financial consequences.

These three incidents demonstrate how quickly and globally Yurei operates and that any industry or region can be targeted at any time.

Open source code lowers entry barriers.

The technical basis of the attacks also highlights a dangerous development. Yurei uses the publicly available code of the open-source project Prince-Ransomware, written in the Go programming language, with few modifications. This freely accessible codebase drastically lowers the barriers for cybercriminals. They don’t need to develop their own malware. Instead, they can adopt the existing code with minimal adjustments and launch a functional ransomware campaign in a few days.

Check Point Research detected symbol tables in the code that had not yet been removed, which is a clear indication that the attackers adopted the open-source code with few modifications. This demonstrates how easily even inexperienced perpetrators can quickly become operational using existing blueprints.

The double extortion approach focuses on data theft.

Yurei follows the classic double-extortion model, putting pressure on victims in two ways:

• File encryption: The malware simultaneously encrypts files on all drives using the ChaCha20 algorithm and adds the „.Yurei“ extension.
• Exfiltration of sensitive data: However, the theft of confidential information is more important than encryption. Yurei threatens to publish this data to force victims to pay.

Although the malware has a technical flaw — on systems with Windows Shadow Copies enabled, some data can be partially recovered — the danger remains significant. This is because, even if victims can reconstruct their files from backups, the threat of publishing their data remains an effective means of extortion.

Within a few days, Yurei expanded its attacks to multiple continents. Initial indications, including VirusTotal uploads from Morocco and an Arabic comment in the HTML code of the darknet site, suggest, albeit with low certainty, an origin in Morocco. Regardless of the exact origin, this case shows that ransomware can emerge worldwide today without geographical limitations.

Recommendations for companies:

The rapid spread of Yurei clearly demonstrates how easily open-source ransomware can be used for attacks. Check Point therefore recommends the following:

• Build a holistic security architecture that integrates endpoints, networks, and identities and covers hybrid and multi-cloud environments.
• Scale anti-phishing measures, including automated email analysis, ongoing awareness training, and behavioral analysis to detect AI-generated bait attempts.
• Segment and regularly test backups to ensure data can be quickly restored in case of an emergency, although this does not guarantee against the publication of stolen information.
• Use threat hunting and deception technologies for early detection to identify and stop attacks in their initial phase.

Yurei makes it clear that modern ransomware does not require advanced technology to cause significant damage. Through freely accessible source code, entry barriers are lowered so much that even inexperienced perpetrators can launch international campaigns quickly. The combination of data theft and extortion puts significant pressure on companies, even if partial data recovery is possible.

Therefore, organizations should critically review their security strategies, implement multi-layered protection concepts, and focus on preventive measures, including segmentation, regular backup checks, continuous network monitoring, and comprehensive employee awareness training. Only a proactive, comprehensive approach can reduce the risk of such attacks in the long term.