{"id":317204,"date":"2025-10-19T21:50:33","date_gmt":"2025-10-19T19:50:33","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=317204"},"modified":"2025-10-19T22:43:47","modified_gmt":"2025-10-19T20:43:47","slug":"ransomware-gruppe-yurei-nutzt-open-source","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/10\/19\/ransomware-gruppe-yurei-nutzt-open-source\/","title":{"rendered":"Ransomware-Gruppe Yurei nutzt Open Source"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>Sicherheitsforscher von\u00a0Check Point\u00ae Software Technologies Ltd. warnen seit Mitte September 2025 vor einer neuen Ransomware-Bedrohung namens Yurei. Der Name ist ein Begriff aus der japanischen Folklore f\u00fcr rastlose Geister. Die Gruppe verwendet Open Source f\u00fcr ihre Angriffe.<\/p>\n<p><!--more--><\/p>\n<p>Check Point Research hat die Gruppe, laut einer Mitteilung, die mir zuging, bereits am 5. September 2025 erstmals entdeckt. Bereits in der ersten Woche konnte Yurei drei Unternehmen auf seiner Leak-Seite im Darknet auff\u00fchren:<\/p>\n<ul>\n<li>Sri Lanka: Ein Lebensmittelhersteller wurde als erstes Opfer kompromittiert. Hier zielten die Angreifer auf kritische Produktions- und Lieferketteninformationen, deren Ver\u00f6ffentlichung weitreichende Folgen f\u00fcr die Versorgungssicherheit und die Markenreputation h\u00e4tte.<\/li>\n<li>Indien: Nur wenige Tage sp\u00e4ter folgte ein weiteres Unternehmen, dessen interne Finanz- und Gesch\u00e4ftsdaten entwendet wurden. Diese Informationen k\u00f6nnen nicht nur f\u00fcr Erpressung, sondern auch f\u00fcr Wirtschaftsspionage genutzt werden.<\/li>\n<li>Nigeria: Als drittes Opfer wurde ein regionales Dienstleistungsunternehmen angegriffen. Hier droht die Offenlegung von Kunden- und Vertragsdaten, was potenziell schwerwiegende rechtliche und finanzielle Konsequenzen nach sich ziehen k\u00f6nnte.<\/li>\n<\/ul>\n<p>Diese drei Vorf\u00e4lle zeigen, wie schnell und global Yurei agiert \u2013 und, dass unterschiedliche Branchen und Regionen innerhalb k\u00fcrzester Zeit ins Visier geraten k\u00f6nnen.<\/p>\n<h2>Open Sourcecode senkt die Einstiegsh\u00fcrden<\/h2>\n<p>Die technische Basis der Angriffe verdeutlicht laut Check Point Research eine gef\u00e4hrliche Entwicklung: Yurei nutzt nahezu unver\u00e4ndert den \u00f6ffentlich verf\u00fcgbaren Code des Open-Source-Projekts Prince-Ransomware, der in der Programmiersprache Go geschrieben wurde.<\/p>\n<p>Diese frei zug\u00e4ngliche Codebasis senkt die H\u00fcrden f\u00fcr Cyber-Kriminelle drastisch. Sie m\u00fcssen keine eigene Schad-Software entwickeln, sondern k\u00f6nnen den bestehenden Code mit nur minimalen Anpassungen \u00fcbernehmen und innerhalb weniger Tage eine funktionsf\u00e4hige Ransomware-Kampagne starten.<\/p>\n<p>Check Point Research konnte im Code sogar noch nicht entfernte Symboltabellen nachweisen \u2013 ein klarer Hinweis darauf, dass die Angreifer den offenen Quell-Code nahezu unver\u00e4ndert \u00fcbernommen haben. Dies macht deutlich, wie leicht selbst wenig erfahrene T\u00e4ter mit vorhandenen Baupl\u00e4nen schnell operativ werden k\u00f6nnen.<\/p>\n<h2>Doppelter Erpressungsansatz mit Fokus auf Datendiebstahl<\/h2>\n<p>Yurei folgt dem klassischen Double-Extortion-Modell und setzt das Opfer gleich doppelt unter Druck:<\/p>\n<ul>\n<li><em>Dateiverschl\u00fcsselung:<\/em> Die Schad-Software verschl\u00fcsselt Dateien auf allen Laufwerken parallel mit dem ChaCha20-Algorithmus und versieht sie mit der Endung <em>.Yurei<\/em>.<\/li>\n<li><em>Exfiltration sensibler Daten:<\/em> Noch wichtiger als die Verschl\u00fcsselung ist jedoch der Diebstahl vertraulicher Informationen. Yurei droht damit, diese Daten zu ver\u00f6ffentlichen, um die Opfer zur Zahlung zu zwingen.<\/li>\n<\/ul>\n<p>Obwohl die Malware, laut Check Point-Software, einen technischen Mangel aufweist \u2013 auf Systemen mit aktivierten Windows Shadow Copies lassen sich teilweise Daten wiederherstellen \u2013 bleibt die Gefahr erheblich. Denn selbst wenn die Opfer ihre Dateien aus Backups rekonstruieren k\u00f6nnen, bleibt die Erpressung durch die Androhung einer Datenver\u00f6ffentlichung ein wirksames Druckmittel.<\/p>\n<h2>Globale Ausbreitung und m\u00f6gliche Herkunft aus Marokko<\/h2>\n<p>Innerhalb weniger Tage hat Yurei seine Angriffe auf mehrere Kontinente ausgeweitet. Erste Hinweise, darunter VirusTotal-Uploads aus Marokko und ein arabischer Kommentar im HTML-Code der Darknet-Seite, deuten mit geringer Sicherheit auf einen Ursprung in Marokko hin.<\/p>\n<p>Unabh\u00e4ngig von der genauen Herkunft zeigt dieser Fall, dass Ransomware heutzutage weltweit und ohne geografische Einschr\u00e4nkungen entstehen kann.<\/p>\n<h2>Handlungsempfehlungen f\u00fcr Unternehmen<\/h2>\n<p>Die schnelle Ausbreitung von Yurei macht deutlich, wie einfach sich Open-Source-Ransomware f\u00fcr Angriffe nutzen l\u00e4sst. Check Point empfiehlt daher:<\/p>\n<ul>\n<li>Eine ganzheitliche Sicherheitsarchitektur aufbauen, die Endpunkte, Netzwerke und Identit\u00e4ten integriert und auch hybride sowie Multi-Cloud-Umgebungen abdeckt.<br \/>\nAnti-Phishing-Ma\u00dfnahmen skalieren, inklusive automatisierter E-Mail-Analyse, fortlaufender Awareness-Trainings und Verhaltensanalysen, um auch KI-generierte Lockversuche zu erkennen.<\/li>\n<li>Backups segmentieren und regelm\u00e4\u00dfig testen, damit Daten im Notfall schnell wiederhergestellt werden k\u00f6nnen \u2013 auch wenn dies keine Garantie gegen die Ver\u00f6ffentlichung gestohlener Informationen ist.<\/li>\n<li>Fr\u00fchzeitige Erkennung durch Threat Hunting und Deception-Technologien einsetzen, um Angriffe bereits in der Anfangsphase zu identifizieren und zu stoppen.<\/li>\n<\/ul>\n<h2>Lehren aus Yurei<\/h2>\n<p>Yurei macht deutlich, dass moderne Ransomware keine hochentwickelte Technik ben\u00f6tigt, um erheblichen Schaden anzurichten. Durch frei zug\u00e4nglichen Quellcode werden die Einstiegsh\u00fcrden so stark gesenkt, dass auch wenig erfahrene T\u00e4ter in k\u00fcrzester Zeit internationale Kampagnen starten k\u00f6nnen. Die Kombination aus Datendiebstahl und Erpressung erh\u00f6ht den Druck auf Unternehmen erheblich \u2013 selbst dann, wenn eine teilweise Datenwiederherstellung m\u00f6glich ist.<\/p>\n<p>Organisationen sollten deshalb ihre Sicherheitsstrategien kritisch pr\u00fcfen, mehrschichtige Schutzkonzepte implementieren und vor allem auf pr\u00e4ventive Ma\u00dfnahmen setzen: von der Segmentierung und regelm\u00e4\u00dfigen \u00dcberpr\u00fcfung von Backups \u00fcber die kontinuierliche \u00dcberwachung von Netzwerken bis hin zur umfassenden Sensibilisierung der Mitarbeiter. Nur ein vorausschauender, umfassender Ansatz kann das Risiko solcher Angriffe nachhaltig senken.<\/p>\n<p>Weitere Information finden sich im Beitrag <a href=\"https:\/\/blog.checkpoint.com\/research\/meet-yurei-the-new-ransomware-group-rising-from-open-source-code\/\" target=\"_blank\" rel=\"noopener\">Meet Yurei: The New Ransomware Group Rising from Open-Source Code<\/a>.\u00a0Die technischen Einzelheiten finden sich im Beitrag <a href=\"https:\/\/research.checkpoint.com\/2025\/yurei-the-ghost-of-open-source-ransomware\/\" target=\"_blank\" rel=\"noopener\">Yurei &amp; The Ghost of Open Source Ransomware<\/a>.<\/p>\n<p>PS: Ich habe die Kommentierung hier im Nachgang gesperrt, weil mal wieder anonyme Poster mit \"Anti Open Source-Theorien\" und CheckPoint um die Ecke kamen. Es ist weder ein sponsored Post, noch gibt es irgend eine Empfehlung, ein bestimmtes Produkt zu kaufen. Der Beitrag liefert eine Information, kann man zur Kenntnis nehmen oder weiter gehen. Sollte ich demn\u00e4chst \u00fcber einen Ransomware-Fall mit Yurei-Infektion berichten m\u00fcssen, kann ich auf den Beitrag hier verweisen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Sicherheitsforscher von\u00a0Check Point\u00ae Software Technologies Ltd. warnen seit Mitte September 2025 vor einer neuen Ransomware-Bedrohung namens Yurei. Der Name ist ein Begriff aus der japanischen Folklore f\u00fcr rastlose Geister. Die Gruppe verwendet Open Source f\u00fcr ihre Angriffe.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-317204","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/317204","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=317204"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/317204\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=317204"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=317204"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=317204"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}