Двойна атака срещу виртуална и корпоративна инфраструктура

Нова ransomware операция, известна като Kyber ransomware, е засечена да атакува едновременно Windows среди и VMware ESXi хипервайзори, като използва два различни варианта, разпространявани в една и съща кампания.

Анализът е направен от Rapid7 по време на инцидентна реакция през март 2026 г.

Два различни варианта, една кампания

ESXi вариант – атака върху виртуализацията

ESXi версията е специално разработена за VMware ESXi среди и може да:

• криптира datastore файлове
• изброява и атакува всички виртуални машини
• прекратява работа на VM-и
• модифицира (deface) административните интерфейси с ransom съобщения

Това я прави особено опасна за enterprise инфраструктури, където виртуализацията е централен компонент.

Windows вариант – по-зрял и по-агресивен

Windows вариантът е написан на Rust и е насочен към сървърни среди на Microsoft Windows.

Той включва:

• криптиране на файлове с разширение .#~~~
• спиране на критични услуги (SQL, Exchange, backup)
• изтриване на shadow copies и системни backup-и
• деактивиране на boot repair
• изчистване на event logs и Recycle Bin
• експериментална функция за спиране на Hyper-V VM-и

„Post-quantum“ криптография – маркетинг или реалност?

Операторите твърдят, че използват Kyber1024 пост-квантово криптиране, но анализът показва по-сложна картина.

ESXi вариант (Linux базиран)

Според Rapid7:

• НЕ използва Kyber за директно криптиране на файлове
• използва ChaCha8 за файлово криптиране
• използва RSA-4096 за ключово обвързване
• криптира селективно файлове според размер

Windows вариант

По-напредналата версия комбинира:

• Kyber1024 (за защита на ключове)
• X25519 (ключов обмен)
• AES-CTR (за масово криптиране на данни)

Това означава, че Kyber се използва само за защита на симетричния ключ, а не за самите данни.

Как работи криптирането

• файлове под 1 MB → пълно криптиране
• 1–4 MB → частично криптиране (първи 1 MB)
• над 4 MB → частично и конфигурируемо криптиране

Този подход ускорява атаката и увеличава щетите при големи файлови системи.

Унищожаване на възможности за възстановяване

Windows вариантът е проектиран да елиминира почти всички recovery механизми:

• изтриване на backup системи
• деактивиране на recovery tools
• спиране на ключови enterprise услуги
• блокиране на логове
• изтриване на shadow copies

Това значително намалява шансовете за възстановяване без ключа на атакуващите.

Интересни технически детайли

Изследователите отбелязват:

• използване на mutex с препратка към музикална платформа (Boomplay)
• Tor-базирана инфраструктура за изнудване
• една и съща кампания ID за двата варианта
• ransom portal с една жертва към момента – голям американски отбранителен и IT доставчик

Kyber ransomware демонстрира нова тенденция в ransomware екосистемата:

• двойно таргетиране (Windows + виртуализация)
• комбиниране на модерни криптографски подходи
• използване на „post-quantum“ терминология като част от психологическия ефект
• силен фокус върху унищожаване на възстановяване

Макар маркетингът около Kyber1024 да подсказва „квантова ера“ в ransomware, реалната опасност остава класическа: пълна загуба на достъп до критични системи без възможност за възстановяване.