Yeni Kyber Ransomware Tehdidi
Son dönemde, Kyber ransomware operasyonu Windows sistemlerini ve VMware ESXi son noktalarını hedef alarak dikkat çekiyor. Bu yeni saldırı, özellikle önemli veri ve sistem kayıplarına yol açabiliyor.
Saldırı Nasıl Çalışıyor?
Mart 2026’da siber güvenlik firması Rapid7, iki farklı Kyber varyantını analiz etti. Her iki varyant aynı ağda kullanıma sunulmuştu; biri VMware ESXi’yi, diğeri ise Windows dosya sunucularını hedef alıyordu. Rapid7, ESXi varyantının VMware ortamları için özel olarak tasarlandığını ve aşağıdaki özellikleri içerdiğini belirtiyor:
- Datastore şifreleme yetenekleri
- İsteğe bağlı sanal makine durdurma
- Yönetim arayüzlerinin değiştirilmesi
Windows varyantı ise Rust diliyle yazılmıştır ve Hyper-V’yi hedefleme yeteneği içeren “deneysel” bir özellik barındırmaktadır.
Etkilenen Sistemler
Her iki varyant da aynı kampanya kimliğini ve Tor tabanlı fidye altyapısını paylaşıyor. Bu durum, her iki varyantın da aynı ransomware ortaklığı tarafından kullanıma sunulduğunu ve hedefin tüm sunucuları aynı anda şifrelemek olduğunu gösteriyor. Şu anda Kyber fidye portalında yalnızca bir kurban kaydedilmiştir; bu, çok uluslu bir Amerikan savunma yüklenicisi ve BT hizmetleri sağlayıcısıdır.
Şifreleme Yöntemleri
Rapid7’nin bulgularına göre, ESXi varyantı datastore dosyalarını şifreleyen, sanal makineleri listeleyen ve fidye notları ile ESXi arayüzlerini değiştiren bir yöntem izliyor. Kyber, ‘post-quantum’ şifreleme kullanması iddiasında bulunsa da, bu iddiaların doğru olmadığı tespit edilmiştir. Linux versiyonu ChaCha8 ve RSA-4096 ile şifreleme yapmaktadır. Windows varyantı ise Kyber1024 ve X25519 ile anahtar koruma sağlamaktadır. Ancak, bu şifrelemelerin sonuçları etkilenenlere yardım etmiyor; yani dosyalar, saldırganın özel anahtarına erişilmedikçe kurtarılamaz duruma geliyor.
Çözüm ve Korunma
Windows varyantı, şifrelenmiş dosyaların sonuna ‘.#~~~’ uzantısı ekliyor, hizmetleri durduruyor, yedekleri silerek veri kurtarma yollarını büyük ölçüde kapatıyor. Bu nedenle aşağıdaki önlemleri almak son derece önemlidir:
- BT altyapılarınızı güncel tutun.
- Düzenli yedeklemeler yaparak, yedeklerinizi izole edin.
- Güçlü güvenlik yazılımları kullanın ve taramalarınızı düzenli olarak gerçekleştirin.
- Şüpheli bağlantılara ve e-postalara dikkat edin.
- Güvenlik duvarlarınızı ve ağ yapılandırmalarınızı gözden geçirin.
Sonuç
Kyber ransomware’u gibi yeni tehditlerle karşılaşmamak için sistemlerinizi sürekli güncelleyin ve mümkünse açık olan portları kapatın. Ayrıca, IT ekibinizle birlikte koruma stratejinizi gözden geçirerek güncel gelişmelerden haberdar olun.
