Die Kyber-Ransomware-Operation stellt eine technisch bemerkenswerte, aber nicht minder gefährliche Bedrohung dar. Beide analysierten Varianten wurden von demselben Ransomware-Affiliate mit identischer Kampagnen-ID und gemeinsamer Tor-basierter Ransom-Infrastruktur eingesetzt – offensichtlich mit der Absicht, durch simultane Verschlüsselung aller Server-Typen maximalen Schaden anzurichten.
Die ESXi-Komponente: Virtualisierungsumgebungen im Visier
Die für VMware-Umgebungen optimierte Variante enumariert sämtliche virtuelle Maschinen, verschlüsselt Datastore-Dateien und desfiguriert Management-Interfaces mit Lösegeld-Mitteilungen. Dabei nutzt sie – entgegen ihrer Bewerbung – nicht tatsächlich Kyber1024 für die Dateiverschlüsselung, sondern ChaCha8 kombiniert mit RSA-4096 für den Schlüsselaustausch. Dies ist ein relevantes Detail: Die Post-Quanten-Versprechen sind für die Linux-Version nicht haltbar.
Die Verschlüsselungsstrategie differenziert nach Dateigröße: Dateien unter 1 MB werden vollständig mit der Erweiterung ‘.xhsyw’ versehen, während Dateien zwischen 1-4 MB nur teilweise (erste MB) verschlüsselt werden. Größere Dateien unterliegen einer konfigurierbaren, intermittierenden Verschlüsselung.
Windows-Variante: Technisch reifer und experimenteller
Die in Rust geschriebene Windows-Komponente zeigt sich technisch ausgefeilter. Sie implementiert tatsächlich Kyber1024 und X25519 für den Schlüsselschutz – hier sind die Post-Quanten-Ansprüche korrekt: Kyber1024 schützt das symmetrische Schlüsselmaterial, während AES-CTR die Massenverschlüsselung übernimmt.
Diese Variante verschlüsselt mit der Erweiterung ‘.#~~~’ und zerstört systematisch alle Wiederherstellungswege: Shadow Copies, Boot-Reparatur, SQL-, Exchange- und Backup-Services werden deaktiviert, Event Logs gelöscht, der Papierkorb geleert. Die experimentelle Hyper-V-Shutdown-Funktion macht die Ransomware auch für deutsche Unternehmen mit Microsoft-Virtualisierung besonders bedrohlich.
Kryptos ändern nichts am Outcome
Rapid7 betont einen wichtigen Punkt: Unabhängig davon, ob RSA oder Kyber1024 verwendet wird – ohne Zugriff auf den privaten Schlüssel des Angreifers bleiben Dateien unwiederherstellbar. Die Post-Quanten-Verschlüsselung ist technisch interessant, ändert aber nichts an der praktischen Situation für Opfer.
Ein kurioses Detail: Die Windows-Variante nutzt eine Mutex, die eine Referenz zu einem Song auf der Musik-Plattform Boomplay zu sein scheint – möglicherweise eine persönliche Note des Entwicklers oder eine Kommunikation innerhalb der Cyberkriminalszene.
Bislang ist laut BleepingComputer nur ein Opfer auf dem Kyber-Portal dokumentiert: ein amerikanischer Rüstungs- und IT-Dienstleistungskonzern im Multi-Milliarden-Dollar-Segment.