https://cyberveille.ch/tags/kyber-ransomware-esxi/linux-variant/ Recent content in Kyber Ransomware (ESXi/Linux Variant) on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Fri, 24 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-24-kyber-ransomware-analyse-technique-des-variantes-windows-et-esxi-deployees-simultanement/ Fri, 24 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-24-kyber-ransomware-analyse-technique-des-variantes-windows-et-esxi-deployees-simultanement/ <h2 id="-contexte">🔍 Contexte</h2> <p>Publié le 21 avril 2026 par Anna Širokova sur le blog Rapid7, cet article présente une <strong>analyse technique approfondie du ransomware Kyber</strong>, découvert lors d&rsquo;un engagement de réponse à incident en mars 2026. Deux variantes ont été récupérées dans le même environnement victime, offrant une opportunité rare d&rsquo;analyse comparative.</p> <h2 id="-description-des-variantes">🧩 Description des variantes</h2> <h3 id="variante-linuxesxi-elf">Variante Linux/ESXi (ELF)</h3> <ul> <li>Binaire <strong>64-bit ELF</strong>, écrit en <strong>C++ (GCC 4.4.7)</strong>, non packé, non obfusqué</li> <li>Cible explicitement les datastores <strong>VMware ESXi</strong> (<code>/vmfs/volumes</code>)</li> <li>Utilise les outils natifs ESXi : <strong>esxcli</strong> pour lister et terminer les VMs</li> <li>Chiffrement réel : <strong>ChaCha8 + RSA-4096</strong> (wrapping de clé), malgré une note de rançon affirmant AES-256-CTR + X25519 + Kyber1024</li> <li>Extension des fichiers chiffrés : <strong><code>.xhsyw</code></strong></li> <li>Note de rançon : <strong><code>readme.txt</code></strong></li> <li>Déface les interfaces SSH (<code>/etc/motd</code>) et web VMware (<code>/usr/lib/vmware/hostd/docroot/index.html</code>)</li> <li>Exécution en arrière-plan via <code>fork()</code> + <code>setsid()</code> pour survivre à la fermeture de session SSH</li> <li>Chiffrement partiel basé sur la taille des fichiers (10% par défaut pour les fichiers &gt;4 MB)</li> </ul> <h3 id="variante-windows-pe">Variante Windows (PE)</h3> <ul> <li>Binaire <strong>64-bit PE</strong>, écrit en <strong>Rust (MSVC/VS2022)</strong>, non packé, non obfusqué</li> <li>Chemin de build exposé : <code>C:\Users\user\.cargo\registry\src\index.crates.io-6f17d22bba15001f</code></li> <li>Chiffrement réel : <strong>AES-256-CTR + Kyber1024 + X25519</strong> (conforme aux affirmations de la note)</li> <li>Extension des fichiers chiffrés : <strong><code>.#~~~</code></strong></li> <li>Note de rançon : <strong><code>READ_ME_NOW.txt</code></strong></li> <li>Pipeline d&rsquo;entropie personnalisé (temps système, CSPRNG Windows, RDRAND, données de processus)</li> <li>Fonctionnalité <strong>Hyper-V expérimentale</strong> via PowerShell (<code>Get-VM</code>, <code>Stop-VM -Force -TurnOff</code>)</li> <li><strong>11 commandes anti-récupération</strong> si exécuté avec élévation de privilèges : <ul> <li>Suppression des shadow copies (WMI, WMIC, vssadmin)</li> <li>Désactivation du Windows Recovery Environment (bcdedit)</li> <li>Suppression des sauvegardes système (wbadmin)</li> <li>Arrêt d&rsquo;IIS, effacement des journaux d&rsquo;événements (wevtutil), vidage de la corbeille</li> </ul> </li> <li>Terminaison de services : <code>msexchange</code>, <code>vss</code>, <code>backup</code>, <code>veeam</code>, <code>sql</code></li> <li>Enregistrement d&rsquo;une icône personnalisée pour les fichiers <code>.#~~~</code> via le registre Windows</li> <li><strong>Mutex</strong> : <code>boomplay[.]com/songs/182988982</code></li> </ul> <h2 id="-infrastructure-partagée">🔗 Infrastructure partagée</h2> <p>Les deux variantes partagent un <strong>identifiant de campagne commun</strong> (<code>5176[REDACTED]</code>) et une <strong>infrastructure Tor</strong> :</p>