Des chercheurs en sécurité de Check Point® Software Technologies Ltd. ont lancé une alerte en septembre 2025 concernant une nouvelle menace de ransomware nommée Yurei, un terme tiré du folklore japonais signifiant « esprits tourmentés ». Ce groupe utilise des codes open source pour mener ses attaques.
Selon une annonce que j’ai reçue, Check Point Research a identifié ce groupe pour la première fois le 5 septembre 2025. En seulement une semaine, Yurei a déjà mis en ligne les informations de trois entreprises sur sa page de fuite dans le Darknet :
- Sri Lanka : Un fabricant de denrées alimentaires a été le premier compromis, avec des cibles dans ses informations critiques de production et de chaîne d’approvisionnement, susceptibles d’affecter gravement la sécurité d’approvisionnement et la réputation de la marque.
- Inde : Quelques jours plus tard, une autre entreprise a subi le vol de données internes financières et commerciales, pouvant servir à l’extorsion et à l’espionnage industriel.
- Nigeria : Un prestataire de services régional a été la cible suivante, avec une menace de divulgation de données clients et contractuelles, ce qui pourrait entraîner de graves conséquences juridiques et financières.
Ces incidents révèlent la rapidité et l’omniprésence des attaques de Yurei, touchant divers secteurs et régions en un temps record.
Open source : un accès facilité pour les cybercriminels
D’après Check Point Research, la base technique des attaques souligne une tendance préoccupante : Yurei exploite pratiquement sans modifications le code du Prince-Ransomware, un projet open source écrit en Go.
Cette accessibilité du code permet aux cybercriminels de réduire considérablement les barrières à l’entrée. Ils n’ont pas besoin de développer leurs propres malwares, mais peuvent utiliser le code existant avec quelques ajustements mineurs pour lancer rapidement une campagne de ransomware.
Check Point a même observé des symboles non supprimés dans le code, montrant que les attaquants ont presque intégralement repris le code ouvert. Cela met en lumière la facilité avec laquelle des acteurs peu expérimentés peuvent s’engager dans des opérations malveillantes.
Un double chantage centré sur le vol de données
Yurei adopte un modèle classique de double extorsion, plaçant les victimes sous une pression accrue :
- Chiffrement des fichiers : Le logiciel malveillant chiffre simultanément les fichiers sur tous les disques avec l’algorithme ChaCha20, leur apposant l’extension .Yurei.
- Exfiltration de données sensibles : Plus préoccupant encore, Yurei menace de publier ces données confidentielles pour forcer les victimes à payer.
Bien que la malware présente une vulnérabilité technique — permettant potentiellement la récupération des données sur des systèmes avec des copies de sauvegarde Windows activées — le risque demeure élevé. Même si les victimes récupèrent leurs fichiers, la menace de publication de données reste un puissant levier de pression.
Une portée globale et des origines possibles au Maroc
Yurei a rapidement étendu ses attaques à plusieurs continents. Des indices, tels que des téléchargements de VirusTotal en provenance du Maroc et un commentaire arabe dans le code HTML du site Darknet, suggèrent une origine probable au Maroc.
Quelle que soit son origine précise, ce cas illustre comment les ransomwares peuvent émerger et se propager sans contraintes géographiques.
Recommandations pour les entreprises
La propagation rapide de Yurei souligne l’utilisation aisée des ransomwares open source pour des attaques. Check Point recommande donc :
- De mettre en place une architecture de sécurité holistique intégrant les points de terminaison, les réseaux et les identités, tout en couvrant les environnements hybrides et multi-clouds.
- De segmenter et tester régulièrement les sauvegardes afin d’assurer une restauration rapide des données en cas de besoin, malgré l’absence de garantie contre la publication d’informations volées.
- D’appliquer des technologies de détection anticipée pour identifier et stopper les attaques dès leurs débuts.
Points à retenir
- Yurei démontre que des ransomwares n’ont pas besoin d’une technologie complexe pour causer des dommages importants.
- Le code ouvert facilite l’accès pour des individus peu expérimentés souhaitant mener des campagnes de ransomwares.
- La combinaison du vol de données et de l’extorsion amplifie le risque pour les entreprises, malgré la possibilité de récupérer certaines données.
- Les organisations doivent porter une attention particulière à leurs stratégies de sécurité et mettre en œuvre des protections multi-niveaux.
En observant l’évolution des menaces telles que celles posées par Yurei, je suis convaincu que chaque entreprise doit rester proactive. L’importance d’une préparation rigoureuse et d’une sensibilisation constante face à ces défis se révèle chaque jour plus cruciale. Comment, à votre avis, les entreprises peuvent-elles innover dans leur approche de la cybersécurité pour contrer de telles menaces ?