Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Kyber é uma ameaça de ransomware multiplataforma projetada para criptografar dados em sistemas VMware ESXi e servidores de arquivos Windows. Os operadores dependem de utilitários nativos como esxcli, PowerShell e vssadmin para desligar máquinas virtuais, remover cópias de sombra e distribuir notas de resgate em ambientes impactados. Em março de 2026, pesquisadores recuperaram duas amostras relacionadas: um binário ELF direcionado ao ESXi e um arquivo PE baseado em Rust criado para Windows. Ambas as variantes foram ligadas por meio de infraestrutura compartilhada baseada em Tor e um identificador de campanha comum.
Investigação
A Rapid7 obteve os pacotes para ESXi e Windows e conduziu uma análise estática para entender melhor o comportamento deles. A pesquisa mostrou que o malware utiliza rotinas de criptografia personalizadas baseadas em ChaCha8 com envelopamento de chave RSA-4096, enquanto a versão Windows também incorpora um esquema de criptografia híbrido Kyber1024 e AES-CTR. Os investigadores documentaram as extensões de arquivos visados, a colocação das notas de resgate, o comportamento de terminação de serviço e um mutex distinto ligado a uma URL do Boomplay.
Mitigação
As defesas recomendadas incluem fortalecer o acesso ao ESXi desativando o SSH sempre que possível e aplicando autenticação multifator, além de restringir o acesso a utilitários nativos como vssadmin, wmic, e reg. As organizações devem proteger os backups por meio de imutabilidade e monitorar de perto alterações nos arquivos de gerenciamento do VMware, bem como o aparecimento da .#~~~ extensão de arquivo. As detecções adicionais devem se concentrar no mutex identificado e nos nomes específicos de arquivos de notas de resgate associados à campanha.
Resposta
Se a atividade do Kyber for detectada, isole imediatamente o sistema afetado, preserve as amostras de malware e inicie a recuperação usando backups imutáveis. As equipes de segurança devem bloquear o acesso aos serviços ocultos do Tor vinculados ao ID da campanha, remover o mutex e excluir quaisquer arquivos de notas de resgate deixados pelo malware. Uma revisão forense completa deve então examinar eventos de terminação de serviço, alterações de registro e atividade de sistema relacionada, antes de reconstruir máquinas virtuais ou hosts afetados a partir de imagens limpas.
"graph TB %% Class Definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef operator fill:#ff9900 %% Nodes u2013 Actions action_initial_access["<b>Ação</b> – <b>T1021.004 Serviços Remotos: SSH</b><br/>O adversário obtém acesso inicial por SSH em hosts ESXi."] class action_initial_access action action_defacement["<b>Ação</b> – <b>T1564.012 Esconder Artefatos: Exclusões de Caminho de Arquivo</b><br/>Substituir /etc/motd e páginas da web da VMware com uma nota de resgate."] class action_defacement action action_vm_enum["<b>Ação</b> – <b>T1059.004 Shell Unix</b><br/>Use o esxcli para enumerar máquinas virtuais e terminá-las suavemente."] class action_vm_enum action action_encryption["<b>Ação</b> – <b>T1486 Dados Criptografados para Impacto</b><br/>Criptografar arquivos de armazenagem usando ChaCha8 no Linux ou AESu2011CTR com Kyber1024 no Windows."] class action_encryption action action_anti_recovery["<b>Ação</b> – Técnicas Múltiplas<br/>Parar serviços de backup (T1489 Parada de Serviço), deletar instantâneos VSS (T1485 Destruição de Dados), desativar o ambiente de recuperação (T1490 Inibir Recuperação do Sistema), danificar defesas (T1562)."] class action_anti_recovery action action_cleanup["<b>Ação</b> – <b>T1070.001 Remoção de Indicadores: Limpar Logs de Eventos do Windows</b><br/>Deletar logs de eventos do Windows e remover artefatos de execução."] class action_cleanup action %% Nodes u2013 Tools tool_ssh["<b>Ferramenta</b> – <b>Nome</b>: SSH<br/><b>Descrição</b>: Protocolo de shell seguro para execução remota de comandos."] class tool_ssh tool tool_esxcli["<b>Ferramenta</b> – <b>Nome</b>: esxcli<br/><b>Descrição</b>: Utilitário de linha de comando ESXi para gerenciamento de host e VM."] class tool_esxcli tool tool_encryptor["<b>Ferramenta</b> – <b>Nome</b>: Criptografador Personalizado<br/><b>Descrição</b>: Implementa ChaCha8 e AESu2011CTR com Kyber1024 para criptografar arquivos."] class tool_encryptor tool %% Flow Connections action_initial_access –>|usa| tool_ssh action_initial_access –>|leva_a| action_defacement action_defacement –>|usa| tool_ssh action_defacement –>|leva_a| action_vm_enum action_vm_enum –>|usa| tool_esxcli action_vm_enum –>|leva_a| action_encryption action_encryption –>|usa| tool_encryptor action_encryption –>|leva_a| action_anti_recovery action_anti_recovery –>|leva_a| action_cleanup "
Fluxo de Ataque
Detecções
Referência Suspeita de Shadowcopy no Powershell (via cmdline)
Ver
Atividade Suspeita da Ferramenta Wbadmin (via cmdline)
Ver
Tentativa de Terminar Processos do IIS (via cmdline)
Ver
Execução de Bcdedit Suspeita (via cmdline)
Ver
Possível Atividade de Evasão de Defesa Pelo Uso Suspeito de Wevtutil (via cmdline)
Ver
Criar ou Deletar Shadow Copy via Powershell, CMD ou WMI (via cmdline)
Ver
IOCs (HashSha256) para detectar: Kyber Ransomware Problema Duplo: Ataques em Windows e ESXi Explicados
Ver
Comandos Anti-Recuperação do Ransomware Kyber PowerShell e Vssadmin [Criação de Processo do Windows]
Ver
Execução de Simulação
Pré-requisito: A verificação prévia de Telemetria e Baseline deve ter passado.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.
-
Narrativa & Comandos do Ataque:
O atacante simulado obteve direitos de administrador local no host comprometido e deseja impedir a recuperação do sistema após criptografar arquivos. Seguindo o comportamento do ransomware Kyber, o atacante primeiro enumera todas as Cópias de Sombra de Volume existentes via WMI e exclui cada uma delas usando uma linha única do PowerShell. Como prevenção (ou para garantir a completude), o atacante também executavssadmin.exe Delete Shadows /all /quiet. Ambos os comandos geram umCommandLinecampo que corresponde exatamente à regra Sigma, causando um alerta. -
Script de Teste de Regressão:
# ---------------------------------------------- # Simulação anti-recuperação estilo Kyber # ---------------------------------------------- # 1. Exclusão de VSS do PowerShell (correspondência exata) $psCmd = 'powershell -ep bypass -nop -c "Get-WmiObject -Class Win32_ShadowCopy | ForEach-Object { $_.Delete() }"' Write-Host "Executando exclusão de VSS do PowerShell..." Invoke-Expression $psCmd # 2. Exclusão de vssadmin (correspondência exata) $vssCmd = 'vssadmin.exe Delete Shadows /all /quiet' Write-Host "Executando exclusão de vssadmin..." & $vssCmd Write-Host "Simulação concluída." -
Comandos de Limpeza:
# Nenhum artefato persistente criado por este script. # Redefinir a política de execução do PowerShell para seu estado original, se modificado: Set-ExecutionPolicy -Scope Process -ExecutionPolicy Restricted -Force Write-Host "Limpeza concluída."