В мире кибербезопасности появляются всё более изощрённые угрозы, но немногие из них способны нанести удар одновременно по двум ключевым платформам в корпоративной среде. Недавно выявленная программа-вымогатель Kyber представляет собой именно такую опасность: это семейство вредоносного ПО, специально разработанное для скоординированной атаки как на гипервизоры VMware ESXi, так и на файловые серверы под управлением Windows. Такой подход не просто увеличивает масштаб потенциального ущерба, а создаёт риск полного паралича бизнес-операций, поскольку атака нацелена на самые уязвимые и критически важные компоненты современной ИТ-инфраструктуры - системы виртуализации и хранения данных.
Описание
Особенность Kyber заключается в её двойной природе. Злоумышленники используют две различные версии вредоносного кода, написанные на разных языках программирования (C++ для ESXi и Rust для Windows), но связанные общим идентификатором кампании и инфраструктурой для выкупа, размещённой в сети Tor. Это свидетельствует о хорошо спланированной операции, где атака на разные платформы является частью единой стратегии по максимальному нарушению работоспособности организации. Фактически, группа Kyber предлагает не стандартный сценарий шифрования файлов, а инструмент для достижения операционного "блэкаута".
Технический анализ, проведённый специалистами Rapid7 во время реагирования на инцидент в марте 2026 года, предоставил редкую возможность изучить обе версии вредоносного ПО. Эксперты обнаружили два образца, развёрнутых в одной среде, что подтвердило гипотезу о скоординированной кросс-платформенной атаке. Версия для VMware ESXi предназначена для шифрования хранилищ данных (datastore), может принудительно останавливать виртуальные машины и заменять интерфейсы веб-управления гипервизором на сообщение с требованием выкупа. В свою очередь, Windows-версия, помимо шифрования файлов, включает экспериментальную функцию воздействия на виртуальные машины Hyper-V и обширный набор команд для противодействия восстановлению системы.
Примечательно, что, несмотря на заявления в сообщениях о выкупе, криптографические реализации в двух версиях различаются. Windows-вариант действительно использует гибридную схему с алгоритмом Kyber1024 (постквантовым алгоритмом) и AES-256-CTR для шифрования данных. Однако ESXi-версия, хотя и рекламирует "постквантовое" шифрование, на практике применяет более традиционный алгоритм ChaCha8 с обёрткой ключа RSA-4096. Это расхождение между маркетингом и реальностью - характерная черта многих групп, занимающихся программами-вымогателями, где тексты уведомлений часто копируются без проверки их соответствия фактическому коду.
Для специалистов по безопасности ключевым аспектом является понимание тактик, техник и процедур (TTP), используемых Kyber. В ESXi-среде вредоносное ПО полагается на доступ по SSH и нативные инструменты управления, такие как "esxcli", для перечисления и "мягкой" остановки виртуальных машин перед шифрованием. Это позволяет минимизировать повреждение данных виртуальных дисков, что, в свою очередь, увеличивает шансы злоумышленников на получение выкупа за их восстановление. Кроме того, программа заменяет ключевые файлы, такие как "/etc/motd" (Message of the Day) и индексные страницы веб-интерфейса VMware, что гарантирует немедленное информирование администратора о взломе при любой попытке доступа к системе.
Windows-версия демонстрирует более агрессивный подход к закреплению в системе и противодействию восстановлению. При запуске с повышенными привилегиями она выполняет серию из 11 команд, включая удаление теневых копий Volume Shadow Copy Service (VSS) через "vssadmin" и "wmic", отключение среды восстановления Windows, очистку системных журналов событий и остановку служб, связанных с резервным копированием (например, Veeam) и базами данных. Этот комплекс мер направлен на то, чтобы лишить организацию возможности быстро восстановить данные без участия злоумышленников. Также интересной деталью является использование мьютекса с именем, напоминающим ссылку на музыкальный стриминговый сервис Boomplay, что может быть попыткой маскировки или своеобразной "визитной карточкой" разработчиков.
Возникновение таких угроз, как Kyber, требует от организаций пересмотра стратегий защиты, особенно для критически важной инфраструктуры виртуализации. Стандартные меры, эффективные против массовых атак, могут оказаться недостаточными против целевого инструмента, созданного для вывода из строя конкретных платформ. В первую очередь, необходимо ужесточить контроль доступа к интерфейсам управления гипервизорами, по возможности отключая прямой shell- и SSH-доступ, и внедрить строгое разграничение прав. Мониторинг выполнения подозрительных команд, таких как "esxcli vm process kill" или массовое использование "vssadmin.exe Delete Shadows", должен стать частью рутинной практики SOC (Security Operations Center, центра управления безопасностью).
Кроме того, ключевое значение приобретает стратегия резервного копирования. Поскольку вредоносное ПО целенаправленно ищет и уничтожает резервные копии на самой системе, жизненно важно обеспечить их неизменяемость и хранение в изолированных сегментах сети, недоступных для скомпрометированных рабочих станций или серверов. Анализ Kyber ещё раз подтверждает, что в современном ландшафте киберугроз граница между атакой на конечные точки и на облачную или виртуализированную инфраструктуру стирается, требуя от защитников комплексного и платформенно-независимого подхода к безопасности.
Индикаторы компрометации
SHA256
- 45bff0df2c408b3f589aed984cc331b617021ecbea57171dac719b5f545f5e8d
- 4ed176edb75ae2114cda8cfb3f83ac2ecdc4476fa1ef30ad8c81a54c0a223a29
- 6ccacb7567b6c0bd2ca8e68ff59d5ef21e8f47fc1af70d4d88a421f1fc5280fc
Mutex
- boomplay.com/songs/182988982
