Kyber: Un Ransomware que Prueba el Cifrado Post-Cuántico en Windows
Análisis de la Infraestructura y Campañas de Kyber
Recientemente, se han analizado dos muestras del ransomware Kyber por Rapid7, las cuales comparten un identificador de campaña y la misma infraestructura de ransomware a través de Tor. Estas características indican que ambas muestras pertenecen a una misma operación ejecutada por un afiliado específico. Un aspecto notable es que mientras una de las variantes se centra en servidores Windows, la otra está diseñada para atacar hosts de VMware ESXi. Esto sugiere un enfoque de cifrado multi-frontal, dirigido a maximizar el impacto dentro de la misma red.
Cifrado en Servidores Windows
Técnicas de Cifrado
En el caso de Windows, la investigación de Rapid7 revela una cadena técnica más compleja. Los archivos son cifrados utilizando el algoritmo AES-CTR. Sin embargo, lo que realmente destaca es el uso de Kyber1024 y X25519 para proteger las claves que el ransomware emplea. Es importante señalar que el algoritmo post-cuántico no se utiliza directamente para cifrar los datos; más bien, actúa como un mecanismo para garantizar que el acceso a dichos datos cifrados sea seguro.
Estrategias de Destrucción de Datos
Además de cifrar los archivos, Kyber lleva a cabo una serie de acciones para asegurar que la víctima tenga dificultades para restaurar su sistema. Esto incluye la eliminación de instantáneas de Windows, la desactivación de opciones de reparación de arranque y la eliminación de registros de eventos. También vacía la papelera y desactiva varios servicios relacionados con SQL, Exchange y copias de seguridad, además de intentar detener máquinas Hyper-V. Todas estas acciones están destinadas a privar a la víctima de cualquier opción de recuperación.
Análisis de la Variante en ESXi
Cifrado y Funcionamiento
Cuando se trata de la variante Linux que ataca a los sistemas ESXi, el funcionamiento es un tanto menos sofisticado de lo que los atacantes podrían desear hacer creer. Aunque esta variante es capaz de cifrar los archivos de almacenamiento de las máquinas virtuales, interrumpir máquinas virtuales y mostrar notas de rescate en las interfaces de administración, Rapid7 indica que el enfoque es mucho más clásico. En este caso, se utiliza ChaCha8 para cifrar los archivos y RSA-4096 para proteger las claves de cifrado.
Comparativa entre Windows y ESXi
A diferencia de la diversidad de técnicas empleadas en Windows, el enfoque en ESXi es más directo y convencional. Sin embargo, la capacidad de Kyber de atacar múltiples plataformas simultáneamente demuestra la creciente amenaza que representan los ransomware en el panorama actual de la ciberseguridad.
Conclusiones
El ransomware Kyber representa un avance significativo en el uso de técnicas de cifrado, especialmente al incorporar elementos post-cuánticos. Sin embargo, su capacidad para infligir daño no se limita a la sofisticación de su cifrado, sino también a la eliminación de las opciones de recuperación para las víctimas. En un mundo donde la ciberseguridad es cada vez más crucial, la aparición de amenazas como Kyber subraya la necesidad urgente de implementar medidas de defensa efectivas. La educación sobre este tipo de ataques y la inversión en tecnología de protección serán vitales para mitigar los riesgos asociados con los ransomware del futuro.
About the Author
