据 bleepingcomputer.com 报道,一种新型 Kyber 勒索软件行动正通过先进的加密技术,针对 Windows 系统和 VMware ESXi 端点发起攻击。
网络安全公司 Rapid7 在 2026 年 3 月的一次事件响应过程中,分析了两种不同的 Kyber 变体。其中一种变体专门针对 VMware ESXi 环境,而另一种则侧重于 Windows 文件服务器。
这两种变体共享同一个活动 ID,并使用相同的基于 Tor 的勒索基础设施。这表明,同一个勒索软件关联人员可能在同时部署这两者,以最大限度地扩大对整个网络的破坏力。
Rapid7 在报告中指出:“ESXi 变体是专门为 VMware 环境构建的,具备加密数据存储、可选的虚拟机终止以及篡改管理界面等功能。”
BleepingComputer 在 Kyber 勒索门户上发现了一个已确认的受害者:一家估值达数十亿美元的美国国防承包商及 IT 服务提供商。
加密声明与技术机制
尽管该勒索软件宣称使用了“后量子”加密,但这一声明的有效性因平台而异。对于基于 Linux 的 ESXi 加密程序,Rapid7 发现其“后量子”说法并不属实。
Linux 版本使用 ChaCha8 进行文件加密,并使用 RSA-4096 进行密钥封装。它会根据文件大小采取不同的处理方式:对 1 MB 以下的小文件进行全量加密,而对大于 4 MB 的文件则仅进行间歇性加密。
然而,使用 Rust 编写的 Windows 变体确实实现了 Kyber1024 和 X25519 密钥保护技术。在该版本中,Kyber1024 用于保护对称密钥材料,而 AES-CTR 则负责大规模的数据加密。
尽管数学算法十分复杂,但使用后量子密码学并不会改变受害者的结局。无论使用的是 RSA 还是 Kyber1024,只要没有攻击者的私钥,文件都将无法恢复。
Windows 变体具有极强的破坏性,它会在加密后的文件后添加 '.#~~~' 扩展名。其设计初衷是通过删除卷影副本、清空回收站以及清除事件日志,来彻底切断受害者的恢复路径。
此外,该版本还包含一项针对 Hyper-V 的实验性功能,并能够终止 SQL、Exchange 及备份服务。相比之下,Windows 变体在技术成熟度上似乎高于其 ESXi 对应版本,后者目前尚缺乏上述多项高级功能。
