Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Kyber è una minaccia ransomware cross-platform progettata per crittografare i dati su sistemi VMware ESXi e server di file Windows. Gli operatori si affidano a utilità native come esxcli, PowerShell e vssadmin per spegnere le macchine virtuali, rimuovere le copie shadow e distribuire note di riscatto in ambiente compromesso. A marzo 2026, i ricercatori hanno recuperato due campioni correlati: un file binario ELF che prende di mira ESXi e un file PE basato su Rust costruito per Windows. Entrambe le varianti erano collegate tramite infrastruttura Tor comune e un identificatore di campagna comune.
Indagine
Rapid7 ha ottenuto sia i payload ESXi che Windows e ha condotto un’analisi statica per comprenderne meglio il comportamento. L’analisi ha mostrato che il malware utilizza routine di crittografia personalizzate costruite attorno a ChaCha8 con packaging della chiave RSA-4096, mentre la versione per Windows incorpora anche uno schema di crittografia ibrido Kyber1024 e AES-CTR. Gli investigatori hanno documentato le estensioni dei file mirati, il posizionamento delle note di riscatto, il comportamento di terminazione del servizio e un mutex distintivo legato a un URL Boomplay.
Mitigazione
Le difese raccomandate includono il rafforzamento dell’accesso a ESXi disabilitando SSH dove possibile e imponendo l’autenticazione multifattore, restringendo anche l’accesso alle utilità native come vssadmin, wmic, e reg. Le organizzazioni dovrebbero proteggere i backup tramite l’immutabilità e monitorare attentamente le modifiche ai file di gestione di VMware nonché l’apparizione dell’estensione di file .#~~~ Le ulteriori rilevazioni dovrebbero concentrarsi sul mutex identificato e sui nomi di file specifici delle note di riscatto associati alla campagna.
Risposta
Se viene rilevata l’attività di Kyber, isolare immediatamente il sistema colpito, conservare i campioni di malware e iniziare il recupero utilizzando backup immutabili. I team di sicurezza dovrebbero bloccare l’accesso ai servizi nascosti Tor collegati all’ID della campagna, rimuovere il mutex e eliminare eventuali file di note di riscatto lasciati dal malware. Una revisione forense completa dovrebbe quindi esaminare gli eventi di terminazione del servizio, le modifiche al registro di sistema e l’attività di sistema correlata prima di ricostruire le macchine virtuali o gli host colpiti da immagini pulite.
"graph TB %% Class Definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef operator fill:#ff9900 %% Nodes u2013 Actions action_initial_access["<b>Azione</b> – <b>T1021.004 Servizi Remoti: SSH</b><br/>L’avversario ottiene accesso iniziale tramite SSH negli host ESXi."] class action_initial_access action action_defacement["<b>Azione</b> – <b>T1564.012 Nascondere Artefatti: Esclusioni del Percorso del File</b><br/>Sostituire /etc/motd e le pagine dell’interfaccia web di VMware con una nota di riscatto."] class action_defacement action action_vm_enum["<b>Azione</b> – <b>T1059.004 Shell Unix</b><br/>Utilizzare esxcli per enumerare le macchine virtuali e terminarle dolcemente."] class action_vm_enum action action_encryption["<b>Azione</b> – <b>T1486 Dati Cifrati per Impatto</b><br/>Cifrare i file del datastore utilizzando ChaCha8 su Linux o AES-CTR con Kyber1024 su Windows."] class action_encryption action action_anti_recovery["<b>Azione</b> – Tecniche Multiple<br/>Interrompere i servizi di backup (T1489 Interruzione del Servizio), eliminare le istantanee VSS (T1485 Distruzione dei Dati), disabilitare l’ambiente di recupero (T1490 Inibire il Recupero del Sistema), indebolire le difese (T1562)."] class action_anti_recovery action action_cleanup["<b>Azione</b> – <b>T1070.001 Rimozione Indicatore: Pulisci i Log degli Eventi di Windows</b><br/>Cancellare i registri degli eventi di Windows e rimuovere artefatti di esecuzione."] class action_cleanup action %% Nodes u2013 Tools tool_ssh["<b>Strumento</b> – <b>Nome</b>: SSH<br/><b>Descrizione</b>: Protocollo shell sicuro per esecuzione remota dei comandi."] class tool_ssh tool tool_esxcli["<b>Strumento</b> – <b>Nome</b>: esxcli<br/><b>Descrizione</b>: Utilità della riga di comando ESXi per la gestione dell’host e delle VM."] class tool_esxcli tool tool_encryptor["<b>Strumento</b> – <b>Nome</b>: Cifratura Personalizzata<br/><b>Descrizione</b>: Implementa ChaCha8 e AES-CTR con Kyber1024 per crittografare i file."] class tool_encryptor tool %% Flow Connections action_initial_access –>|uses| tool_ssh action_initial_access –>|leads_to| action_defacement action_defacement –>|uses| tool_ssh action_defacement –>|leads_to| action_vm_enum action_vm_enum –>|uses| tool_esxcli action_vm_enum –>|leads_to| action_encryption action_encryption –>|uses| tool_encryptor action_encryption –>|leads_to| action_anti_recovery action_anti_recovery –>|leads_to| action_cleanup "
Flusso di Attacco
Rilevazioni
Riferimento a Shadowcopy Powershell Sospetto (tramite cmdline)
Visualizza
Attività Sospetta Strumento Wbadmin (tramite cmdline)
Visualizza
Tentativo di Terminazione dei Processi IIS (tramite cmdline)
Visualizza
Esecuzione Sospetta di Bcdedit (tramite cmdline)
Visualizza
Possibile Attività di Evasione delle Difese tramite Uso Sospetto di Wevtutil (tramite cmdline)
Visualizza
Creazione o Eliminazione di Shadow Copy tramite Powershell, CMD o WMI (tramite cmdline)
Visualizza
IOC (HashSha256) per rilevare: Kyber Ransomware Double Trouble: Windows e Attacchi ESXi Spiegati
Visualizza
Comandi Kyber Ransomware Anti-Recupero PowerShell e Vssadmin [Creazione Processo Windows]
Visualizza
Esecuzione della Simulazione
Prerequisito: Il Telemetry & Baseline Pre-flight Check deve essere passato.
Razionale: Questa sezione dettaglia l’esatta esecuzione della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa devono riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta attesa dalla logica di rilevamento.
-
Narrativa dell’attacco e Comandi:
L’attaccante simulato ha ottenuto diritti di amministratore locale sul host compromesso e desidera impedire il recupero del sistema dopo aver crittografato i file. Seguendo il comportamento del ransomware Kyber, l’attaccante enumera prima tutte le Volume Shadow Copies esistenti tramite WMI e le elimina ciascuna usando una riga di comando PowerShell. Come ripiego (o per garantire la completezza), l’attaccante esegue anchevssadmin.exe Delete Shadows /all /quiet. Entrambi i comandi generano un campoCommandLineche corrisponde esattamente alla regola Sigma, causando un avviso. -
Script di Test di Regressione:
# ---------------------------------------------- # Simulazione anti-recupero stile Kyber # ---------------------------------------------- # 1. Eliminazione VSS di PowerShell (corrispondenza esatta) $psCmd = 'powershell -ep bypass -nop -c "Get-WmiObject -Class Win32_ShadowCopy | ForEach-Object { $_.Delete() }"' Write-Host "Esecuzione eliminazione VSS di PowerShell..." Invoke-Expression $psCmd # 2. Eliminazione vssadmin (corrispondenza esatta) $vssCmd = 'vssadmin.exe Delete Shadows /all /quiet' Write-Host "Esecuzione eliminazione vssadmin..." & $vssCmd Write-Host "Simulazione completata." -
Comandi di Pulizia:
# Nessun artefatto persistente creato da questo script. # Reimposta la policy di esecuzione di PowerShell al suo stato originale se modificata: Set-ExecutionPolicy -Scope Process -ExecutionPolicy Restricted -Force Write-Host "Pulizia terminata."