Kyber on CyberVeille

Kyber : premier ransomware confirmé utilisant la cryptographie post-quantique (ML-KEM)

Fri, 24 Apr 2026 00:00:00 +0000

🗓️ Contexte

Source : Ars Technica, publié le 23 avril 2026 par Dan Goodin. L’article s’appuie sur une analyse technique publiée le même jour par la société de sécurité Rapid7, portant sur la famille de ransomware Kyber.

🦠 Description du malware

Kyber est une famille de ransomware active depuis au moins septembre 2025. Elle tire son nom de l’algorithme cryptographique ML-KEM (Module Lattice-based Key Encapsulation Mechanism), également connu sous le nom de Kyber, standardisé par le NIST.

Kyber Ransomware : analyse technique des variantes Windows et ESXi déployées simultanément

Fri, 24 Apr 2026 00:00:00 +0000

🔍 Contexte

Publié le 21 avril 2026 par Anna Širokova sur le blog Rapid7, cet article présente une analyse technique approfondie du ransomware Kyber, découvert lors d’un engagement de réponse à incident en mars 2026. Deux variantes ont été récupérées dans le même environnement victime, offrant une opportunité rare d’analyse comparative.

🧩 Description des variantes

Variante Linux/ESXi (ELF)

Binaire 64-bit ELF, écrit en C++ (GCC 4.4.7), non packé, non obfusqué
Cible explicitement les datastores VMware ESXi (/vmfs/volumes)
Utilise les outils natifs ESXi : esxcli pour lister et terminer les VMs
Chiffrement réel : ChaCha8 + RSA-4096 (wrapping de clé), malgré une note de rançon affirmant AES-256-CTR + X25519 + Kyber1024
Extension des fichiers chiffrés : .xhsyw
Note de rançon : readme.txt
Déface les interfaces SSH (/etc/motd) et web VMware (/usr/lib/vmware/hostd/docroot/index.html)
Exécution en arrière-plan via fork() + setsid() pour survivre à la fermeture de session SSH
Chiffrement partiel basé sur la taille des fichiers (10% par défaut pour les fichiers >4 MB)

Variante Windows (PE)

Binaire 64-bit PE, écrit en Rust (MSVC/VS2022), non packé, non obfusqué
Chemin de build exposé : C:\Users\user\.cargo\registry\src\index.crates.io-6f17d22bba15001f
Chiffrement réel : AES-256-CTR + Kyber1024 + X25519 (conforme aux affirmations de la note)
Extension des fichiers chiffrés : .#~~~
Note de rançon : READ_ME_NOW.txt
Pipeline d’entropie personnalisé (temps système, CSPRNG Windows, RDRAND, données de processus)
Fonctionnalité Hyper-V expérimentale via PowerShell (Get-VM, Stop-VM -Force -TurnOff)
11 commandes anti-récupération si exécuté avec élévation de privilèges :
- Suppression des shadow copies (WMI, WMIC, vssadmin)
- Désactivation du Windows Recovery Environment (bcdedit)
- Suppression des sauvegardes système (wbadmin)
- Arrêt d’IIS, effacement des journaux d’événements (wevtutil), vidage de la corbeille
Terminaison de services : msexchange, vss, backup, veeam, sql
Enregistrement d’une icône personnalisée pour les fichiers .#~~~ via le registre Windows
Mutex : boomplay[.]com/songs/182988982

🔗 Infrastructure partagée

Les deux variantes partagent un identifiant de campagne commun (5176[REDACTED]) et une infrastructure Tor :

TLS 1.3: l’IETF autorise le post-quantique « pur », une décision qui divise

Wed, 10 Dec 2025 00:00:00 +0000

Selon LWN.net (8 décembre 2025), un vif débat agite l’IETF autour de l’intégration du chiffrement post‑quantique dans TLS 1.3 : un projet de norme autorisant un échange de clés post‑quantique non hybride a été adopté comme document de travail, malgré des objections soulignant un affaiblissement potentiel de la sécurité.

🔐 Contexte cryptographique. L’article rappelle que Shor compromet les schémas asymétriques classiques (RSA, ECDH), d’où la migration vers des mécanismes post‑quantiques centrés sur l’échange de clés (les chiffrements symétriques restant largement épargnés). Des précédents comme la rupture de SIKE (2022) et des problèmes d’implémentation/side‑channels sur Kyber/ML‑KEM illustrent les incertitudes. En août 2024, le NIST a standardisé Kyber/ML‑KEM et recommandé des schémas hybrides combinant algos classiques et post‑quantiques, appuyés par le projet Open Quantum Safe.