⚡ Não perca: notícia importante no ar! ⚡
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma nova operação de ransomware Kyber tem como alvo sistemas Windows e endpoints VMware ESXi em ataques recentes, com uma variante implementando criptografia pós-quântica Kyber1024.
A empresa de segurança cibernética Rapid7 recuperou e analisou duas variantes distintas do Kyber em março de 2026 durante uma resposta a um incidente. Ambas as variantes foram implantadas na mesma rede, com uma voltada para VMware ESXi e a outra focada em servidores de arquivos Windows.
“A variante ESXi foi desenvolvida especificamente para ambientes VMware, com recursos para criptografia de armazenamento de dados, encerramento opcional de máquina virtual e desfiguração de interfaces de gerenciamento”, explica Rapid7.
"A variante do Windows, escrita em Rust, inclui um recurso" experimental "auto-descrito para direcionar o Hyper-V."
Ambas as variantes compartilham o mesmo ID de campanha e infraestrutura de resgate baseada em Tor, portanto foram implantadas pelo mesmo afiliado de ransomware, que provavelmente procurou maximizar o impacto criptografando todos os servidores simultaneamente.
BleepingComputer encontrou apenas uma vítima listada no portal de extorsão de dados Kyber no momento em que este artigo foi escrito, que é um empreiteiro de defesa americano multibilionário e provedor de serviços de TI.
Portal de extorsão de vítimas do ransomware KyberFonte: BleepingComputer.com
Rapid7 diz que a variante ESXi enumera todas as máquinas virtuais (VMs) na infraestrutura, criptografa arquivos de armazenamento de dados e, em seguida, desfigura as interfaces ESXi com notas de resgate para orientar as vítimas durante o pagamento do resgate e o processo de recuperação.
Embora anuncie criptografia ‘pós-quântica’ baseada no encapsulamento de chave Kyber1024, Rapid7 descobriu que essas afirmações são falsas para o criptografador Linux ESXi.
Para a versão Linux, o ransomware usa ChaCha8 para criptografia de arquivos e RSA-4096 para encapsulamento de chaves.
Arquivos pequenos (<1 MB) são totalmente criptografados e anexados com a extensão '.xhsyw', enquanto arquivos entre 1 MB e 4 MB têm apenas o primeiro MB criptografado. Arquivos maiores que 4 MB são criptografados de forma intermitente com base na configuração da operadora.
Nota de resgate incorporada no binário ELFFonte: Rapid7
A variante do Windows, escrita em Rust, implementa Kyber1024 e X25519 para proteção de chave, alinhando-se com as reivindicações da nota de resgate.
“Isso confirma que o Kyber não é usado para criptografia direta de arquivos. Em vez disso, o Kyber1024 protege o material da chave simétrica, enquanto o AES-CTR lida com a criptografia de dados em massa”, explica Rapid7.
Embora o uso da criptografia pós-quântica seja notável, ele não altera os resultados para as vítimas. Quer o criptografador use RSA ou Kyber1024, os arquivos permanecem irrecuperáveis sem acesso à chave privada do invasor.
A variante do Windows anexa a extensão '.#~~~' a arquivos criptografados, encerra serviços, exclui backups e inclui um recurso experimental para desligar máquinas virtuais Hyper-V.
Kyber para Windows CLIFonte: Rapid7
Ele foi projetado para eliminar uma ampla variedade de caminhos de recuperação de dados, excluindo cópias de sombra, desabilitando o reparo de inicialização, eliminando SQL, Exchange e serviços de backup, limpando logs de eventos e limpando a Lixeira do Windows.
Rapid7 destacou uma escolha incomum de mutex na variante Windows do Kyber, que parece fazer referência a uma música na plataforma de música Boomplay.
No geral, a variante do Windows parece mais madura tecnicamente, enquanto a variante ESXi atualmente carece de alguns de seus recursos.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
A empresa de segurança cibernética Rapid7 recuperou e analisou duas variantes distintas do Kyber em março de 2026 durante uma resposta a um incidente. Ambas as variantes foram implantadas na mesma rede, com uma voltada para VMware ESXi e a outra focada em servidores de arquivos Windows.
“A variante ESXi foi desenvolvida especificamente para ambientes VMware, com recursos para criptografia de armazenamento de dados, encerramento opcional de máquina virtual e desfiguração de interfaces de gerenciamento”, explica Rapid7.
"A variante do Windows, escrita em Rust, inclui um recurso" experimental "auto-descrito para direcionar o Hyper-V."
Ambas as variantes compartilham o mesmo ID de campanha e infraestrutura de resgate baseada em Tor, portanto foram implantadas pelo mesmo afiliado de ransomware, que provavelmente procurou maximizar o impacto criptografando todos os servidores simultaneamente.
BleepingComputer encontrou apenas uma vítima listada no portal de extorsão de dados Kyber no momento em que este artigo foi escrito, que é um empreiteiro de defesa americano multibilionário e provedor de serviços de TI.
Portal de extorsão de vítimas do ransomware KyberFonte: BleepingComputer.com
Rapid7 diz que a variante ESXi enumera todas as máquinas virtuais (VMs) na infraestrutura, criptografa arquivos de armazenamento de dados e, em seguida, desfigura as interfaces ESXi com notas de resgate para orientar as vítimas durante o pagamento do resgate e o processo de recuperação.
Embora anuncie criptografia ‘pós-quântica’ baseada no encapsulamento de chave Kyber1024, Rapid7 descobriu que essas afirmações são falsas para o criptografador Linux ESXi.
Para a versão Linux, o ransomware usa ChaCha8 para criptografia de arquivos e RSA-4096 para encapsulamento de chaves.
Arquivos pequenos (<1 MB) são totalmente criptografados e anexados com a extensão '.xhsyw', enquanto arquivos entre 1 MB e 4 MB têm apenas o primeiro MB criptografado. Arquivos maiores que 4 MB são criptografados de forma intermitente com base na configuração da operadora.
Nota de resgate incorporada no binário ELFFonte: Rapid7
A variante do Windows, escrita em Rust, implementa Kyber1024 e X25519 para proteção de chave, alinhando-se com as reivindicações da nota de resgate.
“Isso confirma que o Kyber não é usado para criptografia direta de arquivos. Em vez disso, o Kyber1024 protege o material da chave simétrica, enquanto o AES-CTR lida com a criptografia de dados em massa”, explica Rapid7.
Embora o uso da criptografia pós-quântica seja notável, ele não altera os resultados para as vítimas. Quer o criptografador use RSA ou Kyber1024, os arquivos permanecem irrecuperáveis sem acesso à chave privada do invasor.
A variante do Windows anexa a extensão '.#~~~' a arquivos criptografados, encerra serviços, exclui backups e inclui um recurso experimental para desligar máquinas virtuais Hyper-V.
Kyber para Windows CLIFonte: Rapid7
Ele foi projetado para eliminar uma ampla variedade de caminhos de recuperação de dados, excluindo cópias de sombra, desabilitando o reparo de inicialização, eliminando SQL, Exchange e serviços de backup, limpando logs de eventos e limpando a Lixeira do Windows.
Rapid7 destacou uma escolha incomum de mutex na variante Windows do Kyber, que parece fazer referência a uma música na plataforma de música Boomplay.
No geral, a variante do Windows parece mais madura tecnicamente, enquanto a variante ESXi atualmente carece de alguns de seus recursos.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
#samirnews #samir #news #boletimtec #gangue #de #ransomware #kyber #brinca #com #criptografia #pósquântica #no #windows
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário