Rapid7 analizó dos variantes del nuevo ransomware que comparten infraestructura Tor. La versión Windows implementa Kyber1024 de forma real, mientras la variante ESXi solo lo anuncia. Ambas buscan maximizar el impacto cifrando servidores simultáneamente.
Investigadores de Rapid7 descubrieron en marzo de 2026 una nueva operación de ransomware denominada Kyber que despliega dos variantes coordinadas en un mismo ataque: una dirigida a entornos VMware ESXi y otra a servidores de archivos Windows. El hallazgo ocurrió durante una respuesta a incidentes donde ambos payloads fueron recuperados del mismo entorno comprometido, lo que permitió un análisis comparativo inusual de las dos versiones del malware.
La característica más distintiva de esta campaña es el uso experimental de cifrado post-cuántico Kyber1024 en la variante Windows, una implementación que hasta ahora no se había observado en operaciones de ransomware activas.
Según el análisis técnico publicado por Rapid7, las dos variantes comparten un mismo identificador de campaña y utilizan infraestructura Tor idéntica para las negociaciones de rescate, confirmando que fueron desplegadas por el mismo afiliado de forma simultánea.
La variante Linux/ESXi es un binario ELF escrito en C++ que utiliza ChaCha8 para el cifrado de archivos y RSA-4096 para encapsular las claves, añadiendo la extensión .xhsyw a los archivos afectados. Esta versión enumera las máquinas virtuales en ejecución mediante el comando nativo esxcli, las termina opcionalmente, y luego cifra los datastores VMFS mientras desfigura las interfaces de gestión con notas de rescate.
La variante Windows, escrita en Rust, representa un salto técnico más significativo. Implementa un esquema híbrido que combina Kyber1024 con X25519 para proteger el material de claves simétricas, mientras AES-CTR maneja el cifrado masivo de datos. Los archivos cifrados reciben la extensión .#~~~. A diferencia de su contraparte Linux, esta versión cumple con lo anunciado en las notas de rescate sobre cifrado post-cuántico. BleepingComputer confirmó que el grupo ha listado al menos una víctima en su portal de extorsión: un contratista de defensa estadounidense valorado en miles de millones de dólares.
La variante Windows incluye un conjunto robusto de medidas anti-recuperación, elimina copias de sombra mediante vssadmin, deshabilita el entorno de recuperación de arranque, termina servicios de SQL Server, Exchange y soluciones de backup, limpia los registros de eventos de Windows y vacía la papelera de reciclaje. También incorpora una función experimental para apagar máquinas virtuales Hyper-V, lo que sugiere que los operadores buscan expandir su capacidad de impacto en entornos virtualizados más allá de VMware.
Aunque el uso de criptografía post-cuántica es técnicamente notable, Rapid7 aclara que no cambia el resultado para las víctimas: los archivos permanecen irrecoverables sin acceso a la clave privada del atacante, independientemente de si se usa RSA-4096 o Kyber1024. Sin embargo, la implementación real de Kyber1024 marca un precedente preocupante en la evolución del ransomware, ya que anticipa un futuro donde los avances en computación cuántica podrían comprometer los esquemas criptográficos actuales. Las organizaciones deben endurecer el acceso SSH a hosts ESXi, implementar autenticación multifactor, restringir el uso de utilidades como vssadmin y wmic, y asegurar backups inmutables que permitan recuperación sin pagar rescate.
FUENTE ORIGINAL
Rapid7↗CURADO POR
Santiago Torres