Sebuah operasi ransomware baru yang dikenal sebagai Kyber terdeteksi sedang menargetkan sistem Windows dan titik akhir (endpoints) VMware ESXi dalam serangkaian serangan terbarunya. Salah satu varian dari malware ini bahkan diketahui telah mengimplementasikan enkripsi pasca-kuantum (post-quantum encryption) Kyber1024.
Firma keamanan siber Rapid7 berhasil mengambil dan menganalisis dua varian Kyber yang berbeda pada bulan Maret 2026 selama proses respons insiden. Kedua varian tersebut disebarkan pada jaringan yang sama, di mana satu varian secara khusus menargetkan VMware ESXi dan varian lainnya berfokus pada server fail Windows.
“Varian ESXi dibangun khusus untuk lingkungan VMware, dengan kemampuan untuk mengenkripsi penyimpanan data (datastore), penghentian mesin virtual secara opsional, dan perusakan antarmuka manajemen,” jelas pihak Rapid7. Sementara itu, “Varian Windows, yang ditulis dalam bahasa pemrograman Rust, mencakup fitur yang mereka sebut ‘eksperimental’ untuk menargetkan Hyper-V.”
Kedua varian ini menggunakan ID kampanye dan infrastruktur tebusan berbasis jaringan Tor yang sama. Hal ini menunjukkan bahwa keduanya disebarkan oleh afiliasi ransomware yang sama, yang kemungkinan besar berusaha memaksimalkan dampak kerusakan dengan mengenkripsi semua server secara bersamaan.
Hingga saat ini, baru ada satu korban yang terdaftar di portal pemerasan data Kyber, yakni sebuah perusahaan kontraktor pertahanan dan penyedia layanan TI Amerika Serikat bernilai miliaran dolar.
Klaim Palsu pada Varian Linux/ESXi
Menurut Rapid7, varian ESXi akan mendaftar semua mesin virtual (VM) di infrastruktur, mengenkripsi fail penyimpanan data, dan kemudian merusak antarmuka ESXi dengan meninggalkan catatan tebusan untuk memandu korban melalui proses pembayaran dan pemulihan.
Meskipun pengembang malware ini mengiklankan penggunaan enkripsi “pasca-kuantum” berbasis enkapsulasi kunci Kyber1024, Rapid7 menemukan bahwa klaim tersebut palsu untuk enkriptor Linux ESXi.
Untuk versi Linux, ransomware ini nyatanya menggunakan algoritma ChaCha8 untuk enkripsi fail dan RSA-4096 untuk pembungkusan kunci (key wrapping).
- Fail berukuran kecil (<1 MB) dienkripsi secara penuh dan ditambahkan dengan ekstensi
.xhsyw. - Fail berukuran antara 1 MB hingga 4 MB hanya dienkripsi pada 1 MB pertamanya saja.
- Fail yang lebih besar dari 4 MB dienkripsi secara berselang-seling berdasarkan konfigurasi yang ditetapkan oleh operator.
Varian Windows: Implementasi Kyber1024 yang Sebenarnya
Berbeda dengan versi Linux, varian Windows yang ditulis dalam Rust benar-benar mengimplementasikan Kyber1024 dan X25519 untuk perlindungan kunci, yang sejalan dengan klaim pada catatan tebusan mereka.
“Ini menegaskan bahwa Kyber tidak digunakan untuk enkripsi fail secara langsung. Sebaliknya, Kyber1024 melindungi material kunci simetris, sementara algoritma AES-CTR menangani enkripsi data massalnya,” terang Rapid7.
Meskipun penggunaan kriptografi pasca-kuantum ini patut menjadi sorotan karena kecanggihannya, hal ini sebenarnya tidak mengubah hasil akhir bagi para korban. Terlepas dari apakah enkriptor menggunakan RSA standar atau Kyber1024, fail akan tetap tidak dapat dipulihkan tanpa akses ke kunci privat milik penyerang.
Varian Windows ini akan menambahkan ekstensi .#~~~ ke fail yang dienkripsi. Selain itu, varian ini dirancang untuk melumpuhkan sistem pertahanan secara total dengan cara:
- Menghentikan berbagai layanan (services) penting.
- Menghapus semua fail cadangan (backups) dan salinan bayangan (shadow copies).
- Menonaktifkan perbaikan proses boot (boot repair).
- Mematikan layanan SQL dan Exchange.
- Membersihkan log peristiwa (event logs) dan mengosongkan Recycle Bin Windows.
Secara keseluruhan, Rapid7 menyimpulkan bahwa varian Windows dari Kyber tampak jauh lebih matang secara teknis dan berbahaya, sementara varian ESXi saat ini masih kekurangan beberapa fitur canggihnya.