Вымогательские группы всё чаще пытаются придать себе технологический вес, упоминая в записках постквантовую криптографию. Обычно такие заявления оказываются маркетинговой уловкой, за которой стоят стандартные алгоритмы. Однако недавно обнаруженный вымогатель Kyber разрушает этот стереотип. Анализ реального семпла показывает: угроза действительно использует гибридное шифрование на основе алгоритма Kyber1024 (постквантовый протокол, устойчивый к атакам с использованием квантовых компьютеров) и кривой X25519 (алгоритм обмена ключами на эллиптических кривых). Инцидент уже затронул крупного американского оборонного подрядчика и поставщика ИТ-услуг.
Описание
Первые упоминания вымогателя Kyber относятся к декабрю 2025 года, когда исследователи заметили активность с расширением .#~~~ и запиской READ_ME_NOW.txt. Тогда это выглядело как очередная вариация стандартного шифровальщика. Однако в марте 2026 года компания Rapid7, занимающаяся реагированием на инциденты, опубликовала подробный анализ двух образцов, найденных в скомпрометированной инфраструктуре. В своём отчёте специалисты описали два разных варианта: версию для VMware ESXi, где реально использовался алгоритм ChaCha8 с RSA-4096, и версию для Windows-серверов, которая полностью соответствовала заявленному гибридному стеку. Именно второй вариант и стал предметом пристального изучения.
Записка вымогателя утверждает, что файлы шифруются с помощью алгоритма AES-256-CTR (симметричное шифрование с длиной ключа 256 бит и режимом счётчика), а для генерации ключей применяются X25519 и Kyber1024. В большинстве случаев такие слова служат лишь для запугивания, но код из семпла SHA256 4ed176edb75ae2114cda8cfb3f83ac2ecdc4476fa1ef30ad8c81a54c0a223a29 доказывает обратное. Это исполняемый файл для Windows x64, написанный на языке Rust, размером около 1,9 Мбайт. Внутри обнаружены строки, указывающие на использование крейтов (библиотек) pqc_kyber версии 0.7.1, curve25519-dalek версии 4.1.3, aes версии 0.8.4 и sha2 версии 0.10.8. Такое сочетание само по себе подозрительно, но решающим стали результаты динамического анализа.
При запуске в контролируемой среде вымогатель вёл себя как типичный шифровальщик: записывал записки, регистрировал новый класс файлов, удалял теневые копии, очищал журналы событий и останавливал службы баз данных и резервного копирования. Зашифрованные файлы получали расширение .#~~~ и увеличивались ровно на 1860 байт (0x744). Именно в этом трейлере и скрыта ключевая информация. Структура трейлера жёстко фиксирована: первые 4 байта - магическая последовательность e12fa8c3, затем 256 байт метаданных, обёрнутых в AES, далее 1568 байт (0x620) данных, соответствующих размеру материала для Kyber1024, и последние 32 байта - открытый вывод на основе Curve25519.
Подтвердить работу гибридной схемы помогла трассировка. Во время шифрования тестовых файлов анализаторы зафиксировали, что вычислительный поток обращается к функциям, реализующим арифметику кривой Curve25519 (используется константа 121666, характерная для лестницы Монтгомери) и к функциям работы с Kyber1024. Также было обнаружено, что ключ и вектор инициализации для AES-256-CTR выводятся с помощью HMAC-SHA256, причём вектор инициализации состоит из двух частей: первые 8 байт записываются как есть, вторые 8 байт - с перестановкой байт. Счётчик AES стартует с нуля для метаданных трейлера, а для шифрования тела файла - со значения 0x10. Эта деталь позволила правильно восстановить контрольный пример и подтвердить модель шифрования.
Важный вывод: из одного только семпла и зашифрованных файлов извлечь рабочий дешифратор невозможно. Трейлер не хранит открытый ключ или вектор инициализации. Для восстановления файлов жертве потребуется либо приватный ключ, хранящийся у операторов вымогателя, либо среда выполнения, из которой можно извлечь создаваемые ключи. В проведённом исследовании удалось расшифровать тестовый файл, но только благодаря тому, что ключ и вектор инициализации были получены из трассировки работающего образца. Это не означает, что существует общий метод дешифровки.
Для специалистов по информационной безопасности основными индикаторами компрометации служат: исполняемый файл Rust с отладочной строкой encrypt.pdb, расширение .#~~~, наличие трейлера размером 0x744 с магией e12fa8c3, записка READ_ME_NOW.txt, а также попытки удалить теневые копии и очистить журналы. Обнаружение таких признаков должно немедленно сигнализировать о заражении. Вымогатель Kyber не просто рекламирует постквантовую криптографию - он реально её использует. Это означает, что традиционные методы анализа, основанные на поиске известных алгоритмов вроде RSA, могут не сработать. Защитникам необходимо обновить правила обнаружения и быть готовыми к тому, что расшифровка файлов без участия злоумышленников в ближайшее время маловероятна.
Индикаторы компрометации
Onion Domains
- kyblogtz6k3jtxnjjvluee5ec4g3zcnvyvbgsnq5thumphmqidkt7xid.onion
- mlnmlnnrdhcaddwll4zqvfd2vyqsgtgj473gjoehwna2v4sizdukheyd.onion
MD5
- 18498b1ff111ee9d9a037c280f75b720
SHA1
- 0e9a47782e39741a2c161bf639252d33ad3a428a
SHA256
- 1b66614d63ce9f1b0b9f68464a93d826a3af7e08ccadcbc662f8444f0eaab6b9
- 4ed176edb75ae2114cda8cfb3f83ac2ecdc4476fa1ef30ad8c81a54c0a223a29
- 5a5f2bfea416f4b9ed4e6e45d82df524c1d9fa5f99c08944f2bacdf5bf9f525d
- ef054d22823758290db94aab3c901471a9ebd633f94963030806cc68dd433d8d
