Uma nova operação de ransomware chamada Kyber está mirando sistemas Windows e ambientes VMware ESXi em ataques recentes, com uma das variantes usando criptografia pós-quântica Kyber1024.
A empresa de cibersegurança Rapid7 analisou duas variantes distintas do Kyber em março de 2026, durante uma resposta a incidente.
Ambas foram implantadas na mesma rede, uma voltada para ESXi e a outra direcionada a servidores de arquivos Windows.
“A variante para ESXi foi construída especificamente para ambientes VMware, com recursos de criptografia de datastore, término opcional de máquinas virtuais e alteração visual das interfaces de gerenciamento”, explica a Rapid7.
“A variante para Windows, escrita em Rust, inclui um recurso descrito pelos próprios operadores como ‘experimental’ para atingir Hyper-V.”
As duas variantes compartilham o mesmo identificador de campanha e a mesma infraestrutura de resgate baseada na rede Tor, o que indica que foram usadas pelo mesmo afiliado do ransomware, provavelmente com a intenção de maximizar o impacto ao criptografar todos os servidores ao mesmo tempo.
Até o momento, foi identificada apenas uma vítima listada no portal de extorsão do Kyber.
Trata-se de uma contratada americana de defesa e serviços de TI, avaliada em bilhões de dólares.
Segundo a Rapid7, a variante para ESXi enumera todas as máquinas virtuais presentes na infraestrutura, criptografa os arquivos do datastore e depois altera as interfaces do ESXi com notas de resgate para orientar a vítima sobre o pagamento e o processo de recuperação.
Embora divulgue o uso de criptografia “pós-quântica” com base no Kyber1024, a Rapid7 concluiu que essas alegações não se confirmam para o criptografador Linux usado no ESXi.
Na versão Linux, o ransomware utiliza ChaCha8 para criptografar arquivos e RSA-4096 para proteger as chaves.
Arquivos pequenos, com menos de 1 MB, são criptografados por completo e recebem a extensão “.xhsyw”.
Arquivos entre 1 MB e 4 MB têm apenas o primeiro 1 MB criptografado.
Já arquivos maiores que 4 MB são criptografados de forma intermitente, de acordo com a configuração definida pelo operador.
A variante para Windows, escrita em Rust, implementa Kyber1024 e X25519 para proteção das chaves, em linha com o que é afirmado na nota de resgate.
“Isso confirma que o Kyber não é usado para criptografia direta dos arquivos. Em vez disso, o Kyber1024 protege o material da chave simétrica, enquanto o AES-CTR cuida da criptografia em massa dos dados”, explica a Rapid7.
Apesar de o uso de criptografia pós-quântica ser relevante, isso não muda o resultado para as vítimas.
Seja com RSA ou com Kyber1024, os arquivos continuam irrecuperáveis sem acesso à chave privada dos atacantes.
A variante para Windows acrescenta a extensão “.#~~~” aos arquivos criptografados, encerra serviços, apaga backups e inclui um recurso experimental para desligar máquinas virtuais Hyper-V.
O código foi projetado para eliminar diversas rotas de recuperação de dados, incluindo a exclusão de shadow copies, a desativação do reparo de inicialização, o encerramento de serviços de SQL, Exchange e backup, a limpeza dos logs de eventos e a exclusão de arquivos da Lixeira do Windows.
A Rapid7 também destacou uma escolha incomum de mutex na variante para Windows do Kyber, que aparentemente faz referência a uma música da plataforma Boomplay.
No geral, a variante para Windows parece mais madura do ponto de vista técnico, enquanto a variante para ESXi ainda não conta com alguns dos mesmos recursos.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...