Una nueva operación del ransomware Kyber está atacando sistemas Windows y endpoints de VMware ESXi mediante técnicas de cifrado avanzadas, según informa bleepingcomputer.com.
La firma de ciberseguridad Rapid7 analizó dos variantes distintas de Kyber descubiertas durante una respuesta ante incidentes en marzo de 2026. Una de las variantes se dirige específicamente a entornos VMware ESXi, mientras que la otra se enfoca en servidores de archivos Windows.
Ambas variantes comparten un mismo ID de campaña y utilizan la misma infraestructura de rescate basada en la red Tor. Esto sugiere que un único afiliado del ransomware las desplegó de forma simultánea para maximizar el impacto dentro de una red.
"La variante de ESXi está diseñada específicamente para entornos VMware, con capacidades para el cifrado de datastores, la finalización opcional de máquinas virtuales y la alteración de las interfaces de gestión", informó Rapid7.
BleepingComputer localizó a una víctima confirmada en el portal de extorsión de Kyber: un contratista de defensa y proveedor de servicios de TI estadounidense con una valoración de miles de millones de dólares.
Reivindicaciones sobre el cifrado y mecánica técnica
Aunque el ransomware promociona el uso de cifrado 'post-cuántico', la veracidad de esta afirmación varía según la plataforma. En el caso del cifrador de ESXi, basado en Linux, Rapid7 determinó que las pretensiones post-cuánticas son falsas.
La versión para Linux utiliza ChaCha8 para el cifrado de archivos y RSA-4096 para el encapsulamiento de claves. El proceso de cifrado varía según el tamaño del archivo: los archivos pequeños (menores a 1 MB) se cifran por completo, mientras que aquellos que superan los 4 MB solo se cifran de forma intermitente.
Sin embargo, la variante para Windows, desarrollada en Rust, sí implementa Kyber1024 y X25519 para la protección de claves. En esta versión, Kyber1024 protege el material de la clave simétrica, mientras que AES-CTR se encarga del cifrado de los datos principales.
A pesar de la sofisticación matemática, el uso de criptografía post-cuántica no cambia el desenlace para las víctimas. Los archivos siguen siendo irrecuperables sin la clave privada del atacante, independientemente de si se utiliza RSA o Kyber1024.
La variante de Windows es altamente destructiva y añade la extensión '.#~~~' a los archivos cifrados. Está diseñada para eliminar cualquier vía de recuperación mediante la eliminación de copias de sombra (shadow copies), el vaciado de la papelera de reciclaje y la limpieza de los registros de eventos.
Esta versión también incluye una función experimental para atacar Hyper-V y es capaz de detener servicios de SQL, Exchange y de copias de seguridad. La variante de Windows parece estar más madura tecnológicamente que su contraparte de ESXi, que actualmente carece de varias de estas funciones avanzadas.
