Suivre 
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Kyber est une menace de ransomware multiplateforme conçue pour chiffrer les données à la fois sur les systèmes VMware ESXi et les serveurs de fichiers Windows. Les opérateurs s’appuient sur des utilitaires natifs tels que esxcli, PowerShell, et vssadmin pour arrêter les machines virtuelles, supprimer les copies de l’ombre, et distribuer des notes de rançon dans les environnements impactés. En mars 2026, des chercheurs ont récupéré deux échantillons liés : un binaire ELF ciblant ESXi et un fichier PE basé sur Rust conçu pour Windows. Les deux variantes étaient liées par une infrastructure Tor partagée et un identifiant de campagne commun.
Investigation
Rapid7 a obtenu à la fois les charges utiles ESXi et Windows et a effectué une analyse statique pour mieux comprendre leur comportement. La recherche a montré que le malware utilise des routines de chiffrement personnalisées basées sur ChaCha8 avec un enveloppement de clé RSA-4096, tandis que la version Windows intègre également un schéma de chiffrement hybride Kyber1024 et AES-CTR. Les enquêteurs ont documenté les extensions de fichiers ciblées, le placement des notes de rançon, le comportement d’arrêt des services, et un mutex distinctif lié à une URL Boomplay.
Atténuation
Les défenses recommandées incluent le renforcement de l’accès ESXi en désactivant SSH lorsque cela est possible et en appliquant une authentification multi-facteurs, tout en restreignant l’accès aux utilitaires natifs tels que vssadmin, wmic, et reg. Les organisations devraient sécuriser les sauvegardes par immutabilité et surveiller de près les changements dans les fichiers de gestion VMware ainsi que l’apparition de l’extension de fichier .#~~~ fichier. Des détections supplémentaires devraient se concentrer sur le mutex identifié et les noms de fichiers de note de rançon spécifiques associés à la campagne.
Réponse
Si une activité Kyber est détectée, isolez immédiatement le système affecté, conservez les échantillons de malware, et commencez la récupération en utilisant des sauvegardes immuables. Les équipes de sécurité devraient bloquer l’accès aux services cachés Tor liés à l’ID de la campagne, supprimer le mutex et effacer tous les fichiers de note de rançon déposés par le logiciel malveillant. Un examen médico-légal complet devrait ensuite examiner les événements d’arrêt de service, les modifications du registre, et l’activité système associée avant de reconstruire les machines virtuelles ou les hôtes affectés à partir d’images propres.
"graph TB %% Class Definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef operator fill:#ff9900 %% Nodes u2013 Actions action_initial_access["<b>Action</b> – <b>T1021.004 Remote Services: SSH</b><br/>Adversary gains initial access by SSH into ESXi hosts."] class action_initial_access action action_defacement["<b>Action</b> – <b>T1564.012 Hide Artifacts: File Path Exclusions</b><br/>Replace /etc/motd and VMware web UI pages with a ransom note."] class action_defacement action action_vm_enum["<b>Action</b> – <b>T1059.004 Unix Shell</b><br/>Use esxcli to enumerate virtual machines and softly terminate them."] class action_vm_enum action action_encryption["<b>Action</b> – <b>T1486 Data Encrypted for Impact</b><br/>Encrypt datastore files using ChaCha8 on Linux or AESu2011CTR with Kyber1024 on Windows."] class action_encryption action action_anti_recovery["<b>Action</b> – Multiple Techniques<br/>Stop backup services (T1489 Service Stop), delete VSS snapshots (T1485 Data Destruction), disable recovery environment (T1490 Inhibit System Recovery), impair defenses (T1562)."] class action_anti_recovery action action_cleanup["<b>Action</b> – <b>T1070.001 Indicator Removal: Clear Windows Event Logs</b><br/>Delete Windows event logs and remove execution artifacts."] class action_cleanup action %% Nodes u2013 Tools tool_ssh["<b>Tool</b> – <b>Name</b>: SSH<br/><b>Description</b>: Secure shell protocol for remote command execution."] class tool_ssh tool tool_esxcli["<b>Tool</b> – <b>Name</b>: esxcli<br/><b>Description</b>: ESXi commandu2011line utility for host and VM management."] class tool_esxcli tool tool_encryptor["<b>Tool</b> – <b>Name</b>: Custom Encryptor<br/><b>Description</b>: Implements ChaCha8 and AESu2011CTR with Kyber1024 to encrypt files."] class tool_encryptor tool %% Flow Connections action_initial_access –>|uses| tool_ssh action_initial_access –>|leads_to| action_defacement action_defacement –>|uses| tool_ssh action_defacement –>|leads_to| action_vm_enum action_vm_enum –>|uses| tool_esxcli action_vm_enum –>|leads_to| action_encryption action_encryption –>|uses| tool_encryptor action_encryption –>|leads_to| action_anti_recovery action_anti_recovery –>|leads_to| action_cleanup "
Flux d’attaque
Détections
Référence suspecte à la copie de l’ombre Powershell (via la ligne de commande)
Voir
Activité suspecte de l’outil Wbadmin (via la ligne de commande)
Voir
Tentative de terminaison des processus IIS (via la ligne de commande)
Voir
Exécution suspecte de Bcdedit (via la ligne de commande)
Voir
Activité possible d’évasion de la défense par utilisation suspecte de Wevtutil (via la ligne de commande)
Voir
Créer ou supprimer une copie de l’ombre via Powershell, CMD ou WMI (via la ligne de commande)
Voir
IOCs (HashSha256) à détecter : Kyber Ransomware Double Trouble : Windows et ESXi Attacks Explained
Voir
Kyber Ransomware Commandes PowerShell et Vssadmin Anti-Récupération [Création de processus Windows]
Voir
Exécution de simulation
Prérequis : Le contrôle préalable de télémétrie et de référence doit avoir réussi.
Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection.
-
Narratif d’attaque et commandes :
L’attaquant simulé a obtenu des droits d’administrateur local sur l’hôte compromis et souhaite empêcher la récupération du système après le chiffrement des fichiers. Suivant le comportement du ransomware Kyber, l’attaquant répertorie d’abord toutes les copies de l’ombre des volumes existants via WMI et les supprime chacune en utilisant une ligne de commande PowerShell. Comme solution de secours (ou pour assurer l’exhaustivité), l’attaquant exécute égalementvssadmin.exe Delete Shadows /all /quiet. Les deux commandes génèrent un champCommandLinequi correspond exactement à la règle Sigma, provoquant une alerte. -
Script de test de régression :
# ---------------------------------------------- # Simulation anti-récupération style Kyber # ---------------------------------------------- # 1. Suppression VSS PowerShell (correspondance exacte) $psCmd = 'powershell -ep bypass -nop -c "Get-WmiObject -Class Win32_ShadowCopy | ForEach-Object { $_.Delete() }"' Write-Host "Exécution de la suppression VSS PowerShell..." Invoke-Expression $psCmd # 2. Suppression vssadmin (correspondance exacte) $vssCmd = 'vssadmin.exe Delete Shadows /all /quiet' Write-Host "Exécution de la suppression vssadmin..." & $vssCmd Write-Host "Simulation terminée." -
Commandes de nettoyage :
# Aucun artefact persistant créé par ce script. # Réinitialiser la politique d'exécution PowerShell à son état d'origine si modifié : Set-ExecutionPolicy -Scope Process -ExecutionPolicy Restricted -Force Write-Host "Nettoyage terminé."