La récente campagne de ransomware Kyber cible les systèmes Windows ainsi que les points d’extrémité VMware ESXi, avec une variante intégrant une méthode de chiffrement basée sur Kyber1024, une technologie post-quantique.
La société de cybersécurité Rapid7 a récupéré et analysé en mars 2026 deux variantes distinctes du ransomware lors d’un processus de réponse aux incidents. Ces deux versions ont été déployées sur le même réseau, l’une s’attaquant aux serveurs de fichiers Windows et l’autre à l’environnement VMware ESXi.
Selon Rapid7, « la variante ESXi est conçue spécifiquement pour les environnements VMware, capable de chiffrer les datastores, de terminer des machines virtuelles de manière optionnelle et de défigurer les interfaces de gestion. »
La variante Windows, développée en langage Rust, propose une fonction « expérimentale » de ciblage des machines virtuelles Hyper-V.
Les deux variantes partagent le même identifiant de campagne et l’infrastructure de rançon basée sur Tor, indiquant qu’elles proviennent du même affilié de ransomware, probablement dans le but de maximiser les impacts en chiffrant tous les serveurs en même temps.
À l’heure actuelle, BleepingComputer a identifié une seule victime dans le portail d’extorsion de Kyber, un prestataire de services de défense et de technologie multi-milliardaire basé aux États-Unis.
Source : BleepingComputer.com
La variante ESXi énumère toutes les machines virtuelles sur l’infrastructure, chiffre les fichiers de datastore, puis défigure les interfaces ESXi avec des messages de rançon pour guider les victimes dans le processus de paiement et de récupération.
Malgré ses prétentions d’utiliser un chiffrement post-quantique fondé sur Kyber1024, Rapid7 a révélé que ces déclarations étaient erronées pour le version Linux de l’encryptor ESXi.
Pour la version Linux, le ransomware utilise ChaCha8 pour le chiffrement des fichiers et RSA-4096 pour la protection des clés. Les fichiers de petite taille (moins de 1 Mo) sont complètement chiffrés et reçoivent l’extension ‘.xhsyw’, tandis que ceux compris entre 1 Mo et 4 Mo n’ont que le premier Mo chiffré. Les fichiers excédant 4 Mo subissent un chiffrement intermittent selon la configuration de l’opérateur.
Source : Rapid7
La variante Windows, également développée en Rust, utilise Kyber1024 et X25519 pour la protection des clés, conforme aux affirmations dans la note de rançon.
Rapid7 précise que Kyber n’est pas employé pour le chiffrement direct des fichiers, mais protège plutôt le matériel clé symétrique, tandis que AES-CTR s’occupe du chiffrement des données de masse.
Bien que l’utilisation de la cryptographie post-quantique soit remarquable, cela n’altère pas la situation des victimes. Que l’algorithme utilise RSA ou Kyber1024, les fichiers demeurent irrécupérables sans accès à la clé privée de l’attaquant.
Les fichiers chiffrés par la variante Windows se voient attribuer l’extension ‘.#~~~’, terminent des services, suppriment des sauvegardes, et incluent une fonctionnalité expérimentale pour éteindre les machines virtuelles Hyper-V.
Source : Rapid7
Conçu pour empêcher un large éventail de chemins de récupération des données, il efface les copies de sauvegarde, désactive la réparation du démarrage, met fin aux services SQL et Exchange, efface les journaux d’événements, et vide la corbeille Windows.
Rapid7 a souligné un choix atypique de mutex dans la variante Windows de Kyber, qui semble faire référence à une chanson sur la plateforme musicale Boomplay.
Globalement, la variante Windows paraît plus aboutie techniquement, tandis que la variante ESXi est actuellement dépourvue de certaines de ces fonctionnalités.