Рансомвер групата Kyber експериментира со пост-квантна енкрипција на Windows

Нова рансомвер операција наречена Kyber таргетира Windows системи и VMware ESXi крајни точки во неодамнешни напади, при што една варијанта користи Kyber1024 пост-квантна енкрипција.

Компанијата за сајбер-безбедност Rapid7 во март 2026 година извлече и анализираше две различни варијанти на Kyber за време на одговор на инцидент. Двете варијанти биле распоредени на истата мрежа — едната таргетирала VMware ESXi, а другата Windows фајл сервери.

„ESXi варијантата е специјално изградена за VMware средини, со можности за енкрипција на datastore, опционално гасење на виртуелни машини и дефејс на менаџмент интерфејси“, објаснува Rapid7. „Windows варијантата, напишана во Rust, вклучува ‘експериментална’ функција за таргетирање на Hyper-V.“

Двете варијанти го делат истиот campaign ID и инфраструктура за откуп базирана на Tor, што укажува дека се распоредени од ист рансомвер affiliate, кој најверојатно се обидел да го максимизира влијанието со истовремено енкриптирање на сите сервери.

Според BleepingComputer, во моментот на пишување има само една жртва наведена на порталот за изнуда на податоци на Kyber — американски одбранбен контрактор и провајдер на ИТ услуги вреден милијарди долари.

Rapid7 наведува дека ESXi варијантата ги набројува сите виртуелни машини (VM) во инфраструктурата, ги енкриптира datastore фајловите и потоа ги изменува (deface) ESXi интерфејсите со пораки за откуп, со цел да ги води жртвите низ процесот на плаќање и обновување.

Иако тврди дека користи „пост-квантна“ енкрипција базирана на Kyber1024 key encapsulation, Rapid7 откри дека овие тврдења не се точни за Linux ESXi енкрипторот.

За Linux верзијата, рансомверот користи ChaCha8 за енкрипција на фајловите и RSA-4096 за обвиткување (wrapping) на клучевите.

Малите фајлови (<1 MB) се енкриптираат целосно и им се додава екстензијата „.xhsyw“, додека фајловите помеѓу 1 MB и 4 MB имаат енкриптиран само првиот мегабајт. Фајловите поголеми од 4 MB се енкриптираат делумно, во зависност од конфигурацијата поставена од напаѓачот.

Windows варијантата, напишана во Rust, користи Kyber1024 и X25519 за заштита на клучевите, што се совпаѓа со тврдењата во пораката за откуп.

„Ова потврдува дека Kyber не се користи за директна енкрипција на фајловите. Наместо тоа, Kyber1024 го штити симетричниот клуч, додека AES-CTR се користи за енкрипција на поголеми количини податоци“, објаснува Rapid7.

Иако употребата на пост-квантна криптографија е значајна, тоа не го менува исходот за жртвите. Без разлика дали се користи RSA или Kyber1024, фајловите остануваат недостапни без приватниот клуч на напаѓачот.

Windows варијантата додава екстензија „.#~~~“ на енкриптираните фајлови, прекинува сервиси, брише резервни копии и вклучува експериментална функција за гасење на Hyper-V виртуелни машини.

Дизајниран е да елиминира широк спектар на можности за обновување на податоци — брише shadow copies, го оневозможува boot repair, гаси SQL, Exchange и backup сервиси, ги чисти event логовите и ја празни Windows корпата за отпадоци.

Rapid7 истакнува и необичен избор на mutex во Windows варијантата на Kyber, кој изгледа реферира на песна на платформата Boomplay.

Општо земено, Windows варијантата изгледа технички позрела, додека ESXi варијантата засега нема дел од нејзините функционалности.

Извори:

• Bleeping Computer – Kyber ransomware gang toys with post-quantum encryption on Windows Bleeping Computer