Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Kyber ist eine plattformübergreifende Ransomware-Bedrohung, die darauf abzielt, Daten sowohl in VMware ESXi-Systemen als auch in Windows-Dateiservern zu verschlüsseln. Die Betreiber verlassen sich auf native Tools wie esxcli, PowerShell und vssadmin um virtuelle Maschinen herunterzufahren, Schattenkopien zu entfernen und Lösegeldnotizen in betroffenen Umgebungen zu verteilen. Im März 2026 stellten Forscher zwei verwandte Proben sicher: eine ELF-Binärdatei, die auf ESXi abzielt, und eine PE-Datei auf Rust-Basis, die für Windows erstellt wurde. Beide Varianten wurden durch die gemeinsame Tor-basierte Infrastruktur und eine gemeinsame Kampagnenkennung verknüpft.
Untersuchung
Rapid7 erwarb sowohl die ESXi- als auch die Windows-Payloads und führte eine statische Analyse durch, um ihr Verhalten besser zu verstehen. Die Forschung zeigte, dass die Malware benutzerdefinierte Verschlüsselungsroutinen verwendet, die auf ChaCha8 mit RSA-4096-Schlüsselumhüllung basieren, während die Windows-Version auch ein hybrides Kyber1024- und AES-CTR-Verschlüsselungsschema umfasst. Ermittler dokumentierten die gezielten Dateierweiterungen, den Standort der Lösegeldnotizen, das Verhalten bei Dienstbeendigungen und einen charakteristischen Mutex, der mit einer Boomplay-URL verknüpft ist.
Minderung
Empfohlene Abwehrmaßnahmen umfassen die Härtung des ESXi-Zugriffs durch Deaktivierung von SSH, wo möglich, und die Durchsetzung von Multi-Faktor-Authentifizierung, während gleichzeitig der Zugang zu nativen Dienstprogrammen wie vssadmin, wmic, und reg. Organisationen sollten Backups durch Unveränderlichkeit sichern und genau auf Änderungen an VMware-Management-Dateien und das Auftreten der .#~~~ Dateierweiterung achten. Zusätzliche Erkennungen sollten sich auf den identifizierten Mutex und die spezifischen Dateinamen der Lösegeldnotizen, die mit der Kampagne in Verbindung stehen, konzentrieren.
Antwort
Wenn Kyber-Aktivität erkannt wird, isolieren Sie das betroffene System sofort, bewahren Sie die Malware-Proben auf und beginnen Sie mit der Wiederherstellung unter Verwendung unveränderlicher Backups. Sicherheitsteams sollten den Zugang zu Tor-verborgenen Diensten, die mit der Kampagnen-ID verknüpft sind, blockieren, den Mutex entfernen und alle von der Malware abgelegten Lösegeldnotiz-Dateien löschen. Eine vollständige forensische Überprüfung sollte dann Dienstbeendigungsereignisse, Registrierungsänderungen und damit verbundene Systemaktivitäten untersuchen, bevor betroffene virtuelle Maschinen oder Hosts aus sauberen Images wiederhergestellt werden.
"graph TB %% Class Definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef operator fill:#ff9900 %% Nodes u2013 Actions action_initial_access["<b>Aktion</b> – <b>T1021.004 Remote-Dienste: SSH</b><br/>Der Angreifer verschafft sich anfänglichen Zugang, indem er sich per SSH in ESXi-Hosts einloggt."] class action_initial_access action action_defacement["<b>Aktion</b> – <b>T1564.012 Artefakte Verbergen: Dateipfadausnahmen</b><br/>Ersetzt /etc/motd und VMware-Web-UI-Seiten mit einer Lösegeldnote."] class action_defacement action action_vm_enum["<b>Aktion</b> – <b>T1059.004 Unix-Shell</b><br/>Verwendet esxcli zur Aufzählung der virtuellen Maschinen und zum sanften Beenden dieser."] class action_vm_enum action action_encryption["<b>Aktion</b> – <b>T1486 Daten Verschlüsselt für Auswirkungen</b><br/>Verschlüsselt Datastore-Dateien unter Verwendung von ChaCha8 unter Linux oder AESu2011CTR mit Kyber1024 auf Windows."] class action_encryption action action_anti_recovery["<b>Aktion</b> – Mehrere Techniken<br/>Stoppt Backup-Dienste (T1489 Dienstanhalten), löscht VSS-Snapshots (T1485 Datenzerstörung), deaktiviert Wiederherstellungsumgebung (T1490 Systemsicherheit behindern), schwächt Abwehrmaßnahmen (T1562)."] class action_anti_recovery action action_cleanup["<b>Aktion</b> – <b>T1070.001 Indikator-Entfernung: Windows-Ereignisprotokolle löschen</b><br/>Löscht Windows-Ereignisprotokolle und entfernt Ausführungsartefakte."] class action_cleanup action %% Nodes u2013 Tools tool_ssh["<b>Tool</b> – <b>Name</b>: SSH<br/><b>Beschreibung</b>: Sicheres Shell-Protokoll für die Remote-Befehlsausführung."] class tool_ssh tool tool_esxcli["<b>Tool</b> – <b>Name</b>: esxcli<br/><b>Beschreibung</b>: ESXi-Befehlszeilen-Dienstprogramm für Host- und VM-Management."] class tool_esxcli tool tool_encryptor["<b>Tool</b> – <b>Name</b>: Benutzerdefinierter Verschlüsseler<br/><b>Beschreibung</b>: Implementiert ChaCha8 und AESu2011CTR mit Kyber1024 zur Dateiverschlüsselung."] class tool_encryptor tool %% Flow Connections action_initial_access –>|verwendet| tool_ssh action_initial_access –>|führt zu| action_defacement action_defacement –>|verwendet| tool_ssh action_defacement –>|führt zu| action_vm_enum action_vm_enum –>|verwendet| tool_esxcli action_vm_enum –>|führt zu| action_encryption action_encryption –>|verwendet| tool_encryptor action_encryption –>|führt zu| action_anti_recovery action_anti_recovery –>|führt zu| action_cleanup "
Angriffsablauf
Erkennungen
Verdächtiger PowerShell-Schattenkopie-Verweis (über cmdline)
Anzeigen
Verdächtige Wbadmin-Tool-Aktivität (über cmdline)
Anzeigen
Versuch zur Beendigung von IIS-Prozessen (über cmdline)
Anzeigen
Verdächtige Bcdedit-Ausführung (über cmdline)
Anzeigen
Mögliche Abwehrevasion durch verdächtige Nutzung von Wevtutil (über cmdline)
Anzeigen
Erstellen oder Löschen einer Schattenkopie über PowerShell, CMD oder WMI (über cmdline)
Anzeigen
IOCs (HashSha256) zur Erkennung: Kyber-Ransomware-Doppelärger: Windows- und ESXi-Angriffe erklärt
Anzeigen
Kyber-Ransomware Anti-Recovery PowerShell- und Vssadmin-Befehle [Windows-Prozess-Erstellung]
Anzeigen
Simulationsausführung
Voraussetzung: Der Telemetrie- und Basisvorflug-Check muss bestanden werden.
Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der Gegnertechnik (TTP), die zur Auslösung der Erkennungsregel entwickelt wurde. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, genau die Telemetrie zu erzeugen, die von der Erkennungserfassung erwartet wird.
-
Angriffserzählung & Befehle:
Der simulierte Angreifer hat sich lokale Administratorrechte auf dem kompromittierten Host verschafft und versucht nun, nach der Verschlüsselung von Dateien die Systemwiederherstellung zu verhindern. Folgend dem Verhalten der Kyber-Ransomware zählt der Angreifer zuerst alle vorhandenen Volume-Schattenkopien über WMI auf und löscht jede einzelne mit einem PowerShell-Einzeiler. Als Rückgriff (oder um Vollständigkeit zu gewährleisten), führt der Angreifer zudemvssadmin.exe Delete Shadows /all /quiet. Beide Befehle erzeugen einCommandLine-Feld, das exakt der Sigma-Regel entspricht und einen Alarm auslöst. -
Regressionstest-Skript:
# ---------------------------------------------- # Kyber-Style Anti-Recovery-Simulation # ---------------------------------------------- # 1. PowerShell VSS-Löschung (exakte Übereinstimmung) $psCmd = 'powershell -ep bypass -nop -c "Get-WmiObject -Class Win32_ShadowCopy | ForEach-Object { $_.Delete() }"' Write-Host "Führe PowerShell VSS-Löschung aus..." Invoke-Expression $psCmd # 2. vssadmin-Löschung (exakte Übereinstimmung) $vssCmd = 'vssadmin.exe Delete Shadows /all /quiet' Write-Host "Führe vssadmin-Löschung aus..." & $vssCmd Write-Host "Simulation abgeschlossen." -
Aufräumbefehle:
# Keine persistenten Artefakte durch dieses Skript erstellt. # Setzen Sie die PowerShell-Ausführungsrichtlinie in ihren ursprünglichen Zustand zurück, falls geändert: Set-ExecutionPolicy -Scope Process -ExecutionPolicy Restricted -Force Write-Host "Aufräumen abgeschlossen."