Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Kyber es una amenaza de ransomware multiplataforma diseñada para cifrar datos tanto en sistemas VMware ESXi como en servidores de archivos Windows. Los operadores dependen de utilidades nativas como esxcli, PowerShell, y vssadmin para apagar máquinas virtuales, eliminar copias sombra y distribuir notas de rescate en entornos afectados. En marzo de 2026, los investigadores recuperaron dos muestras relacionadas: un binario ELF que apunta a ESXi y un archivo PE basado en Rust creado para Windows. Ambas variantes estaban vinculadas a través de una infraestructura Tor compartida y un identificador de campaña común.
Investigación
Rapid7 obtuvo las cargas útiles tanto de ESXi como de Windows y realizó un análisis estático para comprender mejor su comportamiento. La investigación mostró que el malware utiliza rutinas de cifrado personalizadas construidas alrededor de ChaCha8 con envoltura de clave RSA-4096, mientras que la versión de Windows también incorpora un esquema de cifrado híbrido Kyber1024 y AES-CTR. Los investigadores documentaron las extensiones de archivos objetivo, la colocación de notas de rescate, el comportamiento de terminación de servicios y un mutex distintivo vinculado a una URL de Boomplay.
Mitigación
Las defensas recomendadas incluyen fortalecer el acceso a ESXi deshabilitando SSH donde sea posible y aplicando autenticación multifactorial, además de restringir el acceso a utilidades nativas como vssadmin, wmic, y reg. Las organizaciones deben asegurar copias de seguridad con inmutabilidad y monitorear de cerca los cambios en los archivos de gestión de VMware así como la aparición de la extensión de archivo .#~~~ . Las detecciones adicionales deben centrarse en el mutex identificado y los nombres de archivo específicos de las notas de rescate asociadas con la campaña.
Respuesta
Si se detecta actividad de Kyber, aísle el sistema afectado de inmediato, conserve las muestras de malware y comience la recuperación utilizando copias de seguridad inmutables. Los equipos de seguridad deben bloquear el acceso a los servicios ocultos de Tor vinculados al ID de campaña, eliminar el mutex y eliminar cualquier archivo de notas de rescate desplegado por el malware. Luego se debe realizar una revisión forense completa para examinar los eventos de terminación de servicios, cambios en el registro y actividad del sistema relacionada antes de reconstruir las máquinas virtuales o hosts afectados a partir de imágenes limpias.
"graph TB %% Class Definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef operator fill:#ff9900 %% Nodes u2013 Actions action_initial_access["<b>Acción</b> – <b>T1021.004 Servicios Remotos: SSH</b><br/>El adversario obtiene acceso inicial mediante SSH a los hosts de ESXi."] class action_initial_access action action_defacement["<b>Acción</b> – <b>T1564.012 Ocultar Artículos: Exclusiones de Rutas de Archivos</b><br/>Reemplace /etc/motd y las páginas de la interfaz web de VMware con una nota de rescate."] class action_defacement action action_vm_enum["<b>Acción</b> – <b>T1059.004 Shell de Unix</b><br/>Use esxcli para enumerar máquinas virtuales y terminarlas suavemente."] class action_vm_enum action action_encryption["<b>Acción</b> – <b>T1486 Datos Cifrados para Impacto</b><br/>Cifre archivos de almacén de datos usando ChaCha8 en Linux o AESu2011CTR con Kyber1024 en Windows."] class action_encryption action action_anti_recovery["<b>Acción</b> – Técnicas Múltiples<br/>Detener servicios de respaldo (T1489 Detención de Servicios), eliminar imágenes de VSS (T1485 Destrucción de Datos), deshabilitar entorno de recuperación (T1490 Inhibir la Recuperación del Sistema), debilitar defensas (T1562)."] class action_anti_recovery action action_cleanup["<b>Acción</b> – <b>T1070.001 Eliminación de Indicadores: Borrar Registros de Eventos de Windows</b><br/>Eliminar registros de eventos de Windows y retirar artefactos de ejecución."] class action_cleanup action %% Nodes u2013 Tools tool_ssh["<b>Herramienta</b> – <b>Nombre</b>: SSH<br/><b>Descripción</b>: Protocolo de shell seguro para ejecución remota de comandos."] class tool_ssh tool tool_esxcli["<b>Herramienta</b> – <b>Nombre</b>: esxcli<br/><b>Descripción</b>: Utilidad de línea de comandos de ESXi para gestión de host y VM."] class tool_esxcli tool tool_encryptor["<b>Herramienta</b> – <b>Nombre</b>: Encryptor Personalizado<br/><b>Descripción</b>: Implementa ChaCha8 y AESu2011CTR con Kyber1024 para cifrar archivos."] class tool_encryptor tool %% Flow Connections action_initial_access –>|usa| tool_ssh action_initial_access –>|conduce_a| action_defacement action_defacement –>|usa| tool_ssh action_defacement –>|conduce_a| action_vm_enum action_vm_enum –>|usa| tool_esxcli action_vm_enum –>|conduce_a| action_encryption action_encryption –>|usa| tool_encryptor action_encryption –>|conduce_a| action_anti_recovery action_anti_recovery –>|conduce_a| action_cleanup "
Flujo de ataque
Detecciones
Referencia sospechosa a Shadowcopy de Powershell (a través de cmdline)
Ver
Actividad sospechosa de la herramienta Wbadmin (a través de cmdline)
Ver
Intento de terminación de procesos IIS (a través de cmdline)
Ver
Ejecución sospechosa de Bcdedit (a través de cmdline)
Ver
Actividad posible de evasión de defensa mediante el uso sospechoso de Wevtutil (a través de cmdline)
Ver
Crear o eliminar Shadow Copy a través de Powershell, CMD o WMI (a través de cmdline)
Ver
IOCs (HashSha256) para detectar: Explicación de los Ataques de Kyber Ransomware Double Trouble: Windows y ESXi
Ver
Comandos Anti-Recuperación de Kyber Ransomware PowerShell y Vssadmin [Creación de Proceso de Windows]
Ver
Ejecución de Simulación
Prerrequisito: El Chequeo Prevuelo de Telemetría y Línea Base debe haber sido aprobado.
Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa del Ataque y Comandos:
El atacante simulado ha obtenido derechos de administrador local en el host comprometido y desea evitar la recuperación del sistema después de cifrar los archivos. Siguiendo el comportamiento del ransomware Kyber, el atacante primero enumera todas las copias sombra de volumen existentes a través de WMI y elimina cada una usando una línea única de PowerShell. Como último recurso (o para asegurar la completitud), el atacante también ejecutavssadmin.exe Delete Shadows /all /quiet. Ambos comandos generan unCommandLinecampo que coincide exactamente con la regla Sigma, provocando una alerta. -
Script de Prueba de Regresión:
# ---------------------------------------------- # Simulación estilo Kyber anti recuperación # ---------------------------------------------- # 1. Eliminación de VSS en PowerShell (coincidencia exacta) $psCmd = 'powershell -ep bypass -nop -c "Get-WmiObject -Class Win32_ShadowCopy | ForEach-Object { $_.Delete() }"' Write-Host "Ejecutando eliminación de VSS de PowerShell..." Invoke-Expression $psCmd # 2. Eliminación de vssadmin (coincidencia exacta) $vssCmd = 'vssadmin.exe Delete Shadows /all /quiet' Write-Host "Ejecutando eliminación de vssadmin..." & $vssCmd Write-Host "Simulación completa." -
Comandos de Limpieza:
# No hay artefactos persistentes creados por este script. # Restablezca la política de ejecución de PowerShell a su estado original si se modificó: Set-ExecutionPolicy -Scope Process -ExecutionPolicy Restricted -Force Write-Host "Limpieza terminada."