Kyber Ransomware : analyse technique des variantes Windows et ESXi déployées simultanément
🔍 Contexte Publié le 21 avril 2026 par Anna Širokova sur le blog Rapid7, cet article présente une analyse technique approfondie du ransomware Kyber, découvert lors d’un engagement de réponse à incident en mars 2026. Deux variantes ont été récupérées dans le même environnement victime, offrant une opportunité rare d’analyse comparative. 🧩 Description des variantes Variante Linux/ESXi (ELF) Binaire 64-bit ELF, écrit en C++ (GCC 4.4.7), non packé, non obfusqué Cible explicitement les datastores VMware ESXi (/vmfs/volumes) Utilise les outils natifs ESXi : esxcli pour lister et terminer les VMs Chiffrement réel : ChaCha8 + RSA-4096 (wrapping de clé), malgré une note de rançon affirmant AES-256-CTR + X25519 + Kyber1024 Extension des fichiers chiffrés : .xhsyw Note de rançon : readme.txt Déface les interfaces SSH (/etc/motd) et web VMware (/usr/lib/vmware/hostd/docroot/index.html) Exécution en arrière-plan via fork() + setsid() pour survivre à la fermeture de session SSH Chiffrement partiel basé sur la taille des fichiers (10% par défaut pour les fichiers >4 MB) Variante Windows (PE) Binaire 64-bit PE, écrit en Rust (MSVC/VS2022), non packé, non obfusqué Chemin de build exposé : C:\Users\user\.cargo\registry\src\index.crates.io-6f17d22bba15001f Chiffrement réel : AES-256-CTR + Kyber1024 + X25519 (conforme aux affirmations de la note) Extension des fichiers chiffrés : .#~~~ Note de rançon : READ_ME_NOW.txt Pipeline d’entropie personnalisé (temps système, CSPRNG Windows, RDRAND, données de processus) Fonctionnalité Hyper-V expérimentale via PowerShell (Get-VM, Stop-VM -Force -TurnOff) 11 commandes anti-récupération si exécuté avec élévation de privilèges : Suppression des shadow copies (WMI, WMIC, vssadmin) Désactivation du Windows Recovery Environment (bcdedit) Suppression des sauvegardes système (wbadmin) Arrêt d’IIS, effacement des journaux d’événements (wevtutil), vidage de la corbeille Terminaison de services : msexchange, vss, backup, veeam, sql Enregistrement d’une icône personnalisée pour les fichiers .#~~~ via le registre Windows Mutex : boomplay[.]com/songs/182988982 🔗 Infrastructure partagée Les deux variantes partagent un identifiant de campagne commun (5176[REDACTED]) et une infrastructure Tor : ...