Een nieuw type Kyber-ransomware richt zich in recente aanvallen op Windows-systemen en VMware ESXi-eindpunten. Een van de varianten gebruikt zelfs Kyber1024 post-kwantum encryptie.

Cyberbeveiligingsbedrijf Rapid7 heeft in maart 2026 twee verschillende Kyber-varianten geanalyseerd tijdens een incidentrespons. Beide varianten werden op hetzelfde netwerk ingezet: de ene richtte zich op VMware ESXi en de andere op Windows-bestandsservers.

“De ESXi-variant is speciaal ontwikkeld voor VMware-omgevingen en kan datastores versleutelen, virtuele machines afsluiten en beheerdersinterfaces aanpassen,” legt Rapid7 uit.

De Windows-variant, geschreven in Rust, bevat een “experimentele” functie om Hyper-V te targeten.

Beide varianten delen dezelfde campagne-ID en maken gebruik van een op Tor gebaseerd afpersinfrastructuur, wat aangeeft dat ze door dezelfde ransomware-affiliate zijn ingezet. Deze probeerde waarschijnlijk de impact te maximaliseren door alle servers tegelijk te versleutelen.

Op dit moment is er slechts één slachtoffer vermeld op het Kyber-afpersingsportaal: een Amerikaans defensiebedrijf en IT-dienstverlener met een omzet van meerdere miljarden.

Rapid7 meldt dat de ESXi-variant alle virtuele machines op de infrastructuur in kaart brengt, datastores versleutelt en ESXi-interfaces voorziet van losgeldbrieven om slachtoffers door het betaal- en herstelproces te leiden.

Hoewel men beweert dat er post-kwantum encryptie met Kyber1024 wordt gebruikt, ontdekte Rapid7 dat dit voor de Linux ESXi-encoder niet waar is. In plaats daarvan wordt ChaCha8 gebruikt voor bestandscodering en RSA-4096 voor sleutelverpakking.

Kleine bestanden (<1 MB) worden volledig versleuteld en krijgen een '.xhsyw'-extensie. Bestanden tussen 1 MB en 4 MB hebben alleen het eerste MB gecodeerd. Grotere bestanden dan 4 MB worden gedeeltelijk versleuteld, afhankelijk van de instellingen van de aanvaller. De Windows-variant implementeert Kyber1024 en X25519 voor sleutelbescherming, in lijn met de claims van de losgeldbrief. Dit bevestigt dat Kyber niet direct voor bestandsvergrendeling wordt gebruikt; in plaats daarvan beschermt Kyber1024 de symmetrische sleutelmateriaal en behandelt AES-CTR de gegevenscodering. Ongeacht of RSA of Kyber1024 wordt gebruikt, zonder toegang tot de privésleutel van de aanvaller blijven bestanden ontoegankelijk. De Windows-variant voegt de '.#~~~' extensie toe aan versleutelde bestanden, beëindigt diensten, verwijdert back-ups en heeft een experimentele functie om Hyper-V virtuele machines uit te schakelen. Het elimineert herstelopties zoals schaduwkopieën, schakelt opstartreparatie uit, stopt SQL-, Exchange- en back-updiensten, wist eventlogs en leegt de prullenbak. Rapid7 ontdekte een opmerkelijke referentie naar een liedje op het Boomplay-muziekplatform in de Windows-variant. Al met al lijkt de Windows-variant technisch geavanceerder, terwijl de ESXi-variant momenteel nog enkele functies mist.
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.