Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Kyber — це загроза-вимагач, що працює на різних платформах, розроблена для шифрування даних як на системах VMware ESXi, так і на файлових серверах Windows. Оператори залежать від вбудованих утиліт, таких як esxcli, PowerShell, та vssadmin , для вимкнення віртуальних машин, видалення тіньових копій та розповсюдження викупних записок по уражених середовищах. У березні 2026 року дослідники відновили два пов’язаних зразки: ELF-двійковий файл для ESXi та PE-файл на Rust, побудований для Windows. Обидва варіанти були пов’язані через загальну інфраструктуру на основі Tor і спільний ідентифікатор кампанії.
Розслідування
Rapid7 отримали як навантаження ESXi, так і Windows й провели статичний аналіз для кращого розуміння їх поведінки. Дослідження показали, що зловмисне ПЗ використовує спеціальні алгоритми шифрування навколо ChaCha8 з обгортанням RSA-4096 ключа, тоді як версія для Windows також інкорпорує гібридну схему шифрування Kyber1024 та AES-CTR. Слідчі задокументували розширення цільових файлів, розміщення викупних нотаток, поведінку припинення служби та відмінний м’ютекс, прив’язаний до URL Boomplay.
Пом’якшення
Рекомендовані захисти включають укріплення доступу ESXi шляхом відключення SSH, де це можливо, і введення багатофакторної аутентифікації, а також обмеження доступу до вбудованих утиліт, таких як vssadmin, wmic, та reg. Організації повинні забезпечити резервні копії через незмінність і уважно стежити за змінами в файлах управління VMware, а також появою .#~~~ розширення файлу. Додаткові виявлення мають зосередитись на ідентифікованому м’ютексі й конкретних файлах викупних нотаток, пов’язаних з кампанією.
Відповідь
Якщо виявлено діяльність Kyber, негайно ізолюйте уражену систему, збережіть зразки шкідливого ПЗ та почніть відновлення за допомогою незмінних резервних копій. Команди безпеки повинні заблокувати доступ до прихованих служб Tor, пов’язаних з ідентифікатором кампанії, видалити м’ютекс і видалити будь-які файли викупних нотаток, що залишені шкідливим ПЗ. Повне судово-медичне дослідження повинно потім вивчити події припинення служби, зміни в реєстрі та пов’язану активність системи, перш ніж відновлювати уражені віртуальні машини або хости з чистих зображень.
"graph TB %% Class Definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef operator fill:#ff9900 %% Nodes u2013 Actions action_initial_access["<b>Action</b> – <b>T1021.004 Remote Services: SSH</b><br/>Adversary gains initial access by SSH into ESXi hosts."] class action_initial_access action action_defacement["<b>Action</b> – <b>T1564.012 Hide Artifacts: File Path Exclusions</b><br/>Replace /etc/motd and VMware web UI pages with a ransom note."] class action_defacement action action_vm_enum["<b>Action</b> – <b>T1059.004 Unix Shell</b><br/>Use esxcli to enumerate virtual machines and softly terminate them."] class action_vm_enum action action_encryption["<b>Action</b> – <b>T1486 Data Encrypted for Impact</b><br/>Encrypt datastore files using ChaCha8 on Linux or AESu2011CTR with Kyber1024 on Windows."] class action_encryption action action_anti_recovery["<b>Action</b> – Multiple Techniques<br/>Stop backup services (T1489 Service Stop), delete VSS snapshots (T1485 Data Destruction), disable recovery environment (T1490 Inhibit System Recovery), impair defenses (T1562)."] class action_anti_recovery action action_cleanup["<b>Action</b> – <b>T1070.001 Indicator Removal: Clear Windows Event Logs</b><br/>Delete Windows event logs and remove execution artifacts."] class action_cleanup action %% Nodes u2013 Tools tool_ssh["<b>Tool</b> – <b>Name</b>: SSH<br/><b>Description</b>: Secure shell protocol for remote command execution."] class tool_ssh tool tool_esxcli["<b>Tool</b> – <b>Name</b>: esxcli<br/><b>Description</b>: ESXi commandu2011line utility for host and VM management."] class tool_esxcli tool tool_encryptor["<b>Tool</b> – <b>Name</b>: Custom Encryptor<br/><b>Description</b>: Implements ChaCha8 and AESu2011CTR with Kyber1024 to encrypt files."] class tool_encryptor tool %% Flow Connections action_initial_access –>|uses| tool_ssh action_initial_access –>|leads_to| action_defacement action_defacement –>|uses| tool_ssh action_defacement –>|leads_to| action_vm_enum action_vm_enum –>|uses| tool_esxcli action_vm_enum –>|leads_to| action_encryption action_encryption –>|uses| tool_encryptor action_encryption –>|leads_to| action_anti_recovery action_anti_recovery –>|leads_to| action_cleanup "
Потік атаки
Виявлення
Підозріле посилання на PowerShell Shadowcopy (через cmdline)
Перегляд
Підозрілий активність інструмента Wbadmin (через cmdline)
Перегляд
Спроба завершення процесів IIS (через cmdline)
Перегляд
Підозріле виконання Bcdedit (через cmdline)
Перегляд
Можлива діяльність по обходу захисту шляхом підозрілого використання Wevtutil (через cmdline)
Перегляд
Створення або видалення тіньової копії через PowerShell, CMD або WMI (через cmdline)
Перегляд
Індикатори компрометації (HashSha256) для виявлення: Kyber Ransomware Double Trouble: Windows та напади на ESXi пояснені
Перегляд
Kyber Ransomware команди PowerShell та Vssadmin проти-відновлення [Створення процесу Windows]
Перегляд
Виконання симуляції
Передумова: Повинна бути успішно пройдена перевірка телеметрії та базової конфігурації.
Обгрунтування: Цей розділ детально описує точне виконання техніки противника (TTP), розробленої для запуску правила виявлення. Команди та наратив МАЮТЬ точно відображати ідентифіковані TTP та мають за мету створити точну телеметрію, очікувану логікою виявлення.
-
Сценарій атаки та Команди:
Симульований нападник отримав права локального адміністратора на скомпрометованому хості і бажає запобігти відновленню системи після шифрування файлів. Відповідно до поведінки Kyber ransomware, нападник спочатку перераховує всі існуючі тіньові копії томів через WMI і видаляє кожну за допомогою однорядкового PowerShell. Як запасний варіант (або для забезпечення повноти), нападник також запускаєvssadmin.exe Delete Shadows /all /quiet. Обидві команди генеруютьCommandLineполе, яке точно відповідає правилу Sigma, що викликає сигнал тривоги. -
Сценарій тестування регресії:
# ---------------------------------------------- # Симуляція Anti-Recovery у стилі Kyber # ---------------------------------------------- # 1. Видалення PowerShell VSS (точний збіг) $psCmd = 'powershell -ep bypass -nop -c "Get-WmiObject -Class Win32_ShadowCopy | ForEach-Object { $_.Delete() }"' Write-Host "Виконання видалення PowerShell VSS..." Invoke-Expression $psCmd # 2. видалення vssadmin (точний збіг) $vssCmd = 'vssadmin.exe Delete Shadows /all /quiet' Write-Host "Виконання видалення vssadmin..." & $vssCmd Write-Host "Симу...раничено." -
Команди очищення:
# Цей скрипт не створює постійних артефактів. # Скидання політики виконання PowerShell до її початкового стану, якщо змінили: Set-ExecutionPolicy -Scope Process -ExecutionPolicy Restricted -Force Write-Host "Очищення завершено."