Появилась новая группа программ-вымогателей Yurei, которая для атак активно использует открытые (open-source) инструменты и готовые скрипты. Тактика — классическая double extortion: злоумышленники сначала копируют конфиденциальные данные, затем шифруют инфраструктуру жертвы и требуют выкуп, угрожая опубликовать украденную информацию в даркнете при отказе платить. Среди зафиксированных инцидентов — атака на производителя продуктов питания на Шри-Ланке.
🔍 Что происходит
Yurei показывает две опасные тенденции:
- злоумышленники массово используют публичные инструменты и наборы эксплойтов, что снижает порог входа для сложных атак;
- схема двойного шантажа делает даже восстановление из резервных копий недостаточной защитой — данные всё равно могут быть обнародованы и использованы для дальнейшего шантажа, фишинга или продажи на дарк-рынке.
Особенно уязвимы производственные компании с разветвлёнными цепочками поставок: компрометация одного поставщика может дать доступ к сети крупных клиентов. В одном из кейсов в Шри-Ланке злоумышленники получили и коммерческую, и персональную информацию сотрудников — это повышает риск вторичных мошеннических атак и репутационных потерь.
🧠 Мнение редакции GetScam
Тенденция «двойного шантажа» — логичное развитие вымогательства: когда резервные копии спасают данные, публикация их в открытом доступе остаётся эффективным рычагом давления. Использование open-source-инструментов делает такие атаки дешевле и массовее. Бизнесу пора перестать думать только о восстановлении данных и начать отвечать комплексно: предотвращение утечек, сегментация, мониторинг утечек в даркнете и план реагирования на инциденты.
⚠️ Как защититься от Yurei и подобных вымогателей
- Регулярно делайте несколько независимых резервных копий (offline/air-gapped), проверяйте процесс восстановления.
- Внедрите immutable-резервные копии (неподлежащие перезаписи) и храните копии вне основной сети.
- Ограничьте привилегии пользователей по принципу least-privilege и применяйте многофакторную аутентификацию.
- Закрывайте и мониторьте удалённые доступы (RDP, VPN), применяйте жесткую сегментацию сети и микросегментацию для критичных систем.
- Внедрите EDR/NGAV и SIEM с настройкой детектирования необычной эксфильтрации данных (большие исходящие файлы, нетипичный трафик).
- Патчьте ПО и сервисы оперативно — многие наборы эксплойтов используют давно закрытые уязвимости.
- Подготовьте и отрепетируйте план реагирования на инциденты: кто кому сообщает, как уведомлять клиентов и регуляторов.
- Мониторьте дарк-сайт-листинги и сервисы утечек — раннее обнаружение публикации данных снижает ущерб.
В случае инцидента немедленно подключайте профильных специалистов по реагированию и правоохранительные органы; обсуждение вопроса оплаты выкупа — это отдельное риск-решение, которое принимает руководство совместно с юристами и экспертами по инцидентам.
🔗 Полезные материалы на GetScam.com
Интернет-мошенничество: виды, цели и реальные примеры
Фишинг: как распознать и обезопасить себя
Социальная инженерия: методы обмана и противодействие
Мошенничество с поддельными сайтами банков
Мошенничество с поддельными документами: как проверить подлинность
✅ Вывод от GetScam
Yurei — напоминание: вымогательство эволюционирует. Защита компаний должна выходить за рамки «есть ли резервная копия?» и охватывать предотвращение утечек, раннее обнаружение эксфильтрации и отработанные коммуникации на случай публикации данных. Компании, особенно в критичных секторах (производство, питание, логистика), должны действовать сейчас — иначе двойной шантаж станет их реальностью.
