Kyber रैनसमवेयर: क्वांटम-प्रतिरोधी एन्क्रिप्शन साइबर सुरक्षा के लिए नया खतरा क्यों है
TL;DR
Kyber रैनसमवेयर: क्वांटम-प्रतिरोधी एन्क्रिप्शन साइबर सुरक्षा के लिए नया खतरा क्यों है
रैनसमवेयर का खेल अब और भी अजीब हो गया है। "Kyber" नामक एक नया खिलाड़ी सामने आया है, जिसने अपने विंडोज एन्क्रिप्शन रूटीन में पोस्ट-क्वांटम क्रिप्टोग्राफी (PQC) को शामिल करना शुरू कर दिया है। सुरक्षा शोधकर्ताओं ने अप्रैल 2026 में पुष्टि की कि यह पहली बार है जब हमने किसी रैनसमवेयर परिवार को अपने दुर्भावनापूर्ण कोड में क्वांटम-प्रतिरोधी एल्गोरिदम का उपयोग करते देखा है। यह वास्तव में एक दिखावा है—इन अपराधियों के लिए यह संकेत देने का एक तरीका है कि वे क्वांटम कंप्यूटिंग के अपरिहार्य उदय के खिलाफ अपनी जबरन वसूली की रणनीति को "भविष्य के लिए सुरक्षित" (future-proofing) कर रहे हैं।
लेकिन क्या यह वास्तव में उतना डरावना है जितना लगता है? Kyber समूह वर्तमान में विंडोज और VMware ESXi दोनों वातावरणों पर हमला कर रहा है, लेकिन यदि आप गहराई से देखें, तो वास्तविकता उनके मार्केटिंग दावों की तुलना में थोड़ी अलग है।
तकनीकी विभाजन: विंडोज बनाम ESXi
जब Rapid7 ने इस साल मार्च में Kyber मैलवेयर के विंडोज संस्करण का विश्लेषण किया, तो उन्हें एक रस्ट-आधारित (Rust-based) खतरा मिला। यह सिमेट्रिक कुंजियों को लॉक करने के लिए Kyber1024 और X25519 के मिश्रण का उपयोग कर रहा है। Kyber1024 का उपयोग करके, ये हमलावर अपने बुनियादी ढांचे को पोस्ट-क्वांटम मानकों के साथ संरेखित करने की कोशिश कर रहे हैं, जिससे प्रभावी रूप से एक ऐसी दीवार बन रही है जिसे भविष्य के क्वांटम हार्डवेयर के लिए भी पार करना मुश्किल हो सकता है।
फिर ESXi का पक्ष आता है। सार्वभौमिक पोस्ट-क्वांटम अपनाने के समूह के बड़े दावों के बावजूद, ESXi-लक्षित फाइलें आश्चर्यजनक रूप से... पारंपरिक हैं। वे ChaCha8 और RSA-4096 की पुरानी विश्वसनीयता पर टिके हुए हैं। यह "जैसा मैं कहता हूं वैसा करो, जैसा मैं करता हूं वैसा नहीं" का एक क्लासिक मामला है। फिर भी, दोनों के बीच तकनीकी बेमेल होने के बावजूद, दोनों संस्करण एक ही अभियान आईडी और फिरौती की बातचीत और भुगतान के लिए एक एकीकृत Tor-आधारित बुनियादी ढांचे को साझा करते हैं।
रैनसमवेयर में पोस्ट-क्वांटम क्रिप्टोग्राफी की ओर यह बदलाव एक सोची-समझी चाल है। यह आंशिक रूप से दिखावा और आंशिक रूप से रणनीतिक स्थिति है। इन एल्गोरिदम को अपनाकर, Kyber गिरोह खुद को "क्वांटम-रेडी" अंडरवर्ल्ड के अग्रणी के रूप में स्थापित कर रहा है, जिससे सुरक्षा टीमों को फिरौती के लिए रखी गई डेटा की लंबी अवधि की सुरक्षा के बारे में फिर से सोचने पर मजबूर होना पड़ रहा है।
केवल गणित से बढ़कर: ऑपरेशनल प्लेबुक
फैंसी क्रिप्टोग्राफिक शब्दावली को आपको यह भूलने न दें कि Kyber उद्यम आईटी के लिए एक सामान्य दुःस्वप्न है। एन्क्रिप्शन केवल ताबूत में आखिरी कील है; वास्तविक नुकसान पहले ही हो जाता है। विंडोज संस्करण विनाशकारी सुविधाओं से भरा है जिसे रिकवरी के लिए शून्य विकल्प छोड़ने के लिए डिज़ाइन किया गया है।
वे आमतौर पर नेटवर्क को कैसे नष्ट करते हैं, यहाँ बताया गया है:
- सेवा समाप्ति: मैलवेयर व्यवस्थित रूप से महत्वपूर्ण सिस्टम सेवाओं को समाप्त कर देता है, यह सुनिश्चित करते हुए कि ओएस द्वारा विरोध किए बिना फाइलों को लॉक किया जा सके।
- बैकअप तोड़फोड़: यह स्थानीय बैकअप की तलाश करता है और उन्हें हटा देता है ताकि आप "कल से पुनर्स्थापित" न कर सकें।
- साक्ष्य विनाश: यह विंडोज इवेंट लॉग को साफ करता है और वॉल्यूम शैडो कॉपी को नष्ट कर देता है, अपने स्वयं के डिजिटल फिंगरप्रिंट को मिटा देता है और देशी रिकवरी टूल को मार देता है।
- हाइब्रिड एन्क्रिप्शन: Kyber1024 को X25519 के साथ मिलाकर, हमलावर अनिवार्य रूप से दरवाजे को दो बार लॉक कर रहे हैं, अपनी कुंजियों को आधुनिक और क्वांटम-प्रतिरोधी दोनों परतों के साथ सुरक्षित कर रहे हैं।
ब्रांडिंग बनाम वास्तविकता का अंतर
विंडोज और ESXi संस्करणों के निर्माण के तरीके के बीच का अंतर उस प्रवृत्ति को उजागर करता है जिसे हम वर्षों से देख रहे हैं: हमलावर "तकनीकी प्रतिष्ठा" का उपयोग एक मनोवैज्ञानिक हथियार के रूप में कर रहे हैं। यदि आप किसी पीड़ित को यह विश्वास दिला सकते हैं कि आपका एन्क्रिप्शन "क्वांटम-प्रूफ" है, तो उनके द्वारा इसे जबरन तोड़ने की कोशिश करने की संभावना कम हो जाती है।
| विशेषता | विंडोज संस्करण | ESXi संस्करण |
|---|---|---|
| प्राथमिक भाषा | Rust | निर्दिष्ट नहीं |
| एन्क्रिप्शन एल्गोरिदम | Kyber1024, X25519 | ChaCha8, RSA-4096 |
| बुनियादी ढांचा | Tor-आधारित | Tor-आधारित |
| प्राथमिक लक्ष्य | सिस्टम-व्यापी एन्क्रिप्शन | वर्चुअल मशीन व्यवधान |
जैसा कि Kyber रैनसमवेयर गिरोह के प्रयोगों के बारे में रिपोर्टों में उल्लेख किया गया है, PQC को शामिल करना वर्तमान में उपयोगिता से अधिक दिखावे के बारे में है। आइए ईमानदार रहें: अधिकांश रैनसमवेयर इसलिए डिक्रिप्ट नहीं किए जाते क्योंकि गणित बहुत कठिन है; वे इसलिए डिक्रिप्ट किए जाते हैं क्योंकि हमलावरों ने कार्यान्वयन या कुंजी प्रबंधन में गलती की है। PQC का उपयोग करने से रैनसमवेयर आज "अजेय" नहीं हो जाता है, लेकिन यह संकेत देता है कि ये समूह अपने "व्यवसाय" के भविष्य के बारे में कैसे सोच रहे हैं।
Kyber रैनसमवेयर ऑपरेशन का विंडोज और ESXi को लक्षित करना एक स्पष्ट अनुस्मारक है कि उच्च-मूल्य वाले उद्यम लक्ष्य प्राथमिक उद्देश्य बने हुए हैं। वे अपरिहार्यता की भावना पैदा करना चाहते हैं। वे चाहते हैं कि आप विश्वास करें कि एक बार लॉक लग जाने के बाद, डेटा हमेशा के लिए चला गया है।
सुरक्षा पेशेवरों के लिए, सलाह वही रहती है, भले ही उपकरण अधिक आकर्षक हो रहे हों: अपने बैकअप को एयर-गैप्ड रखें, उन सेवा समाप्ति संकेतों की निगरानी करें, और अपने इवेंट लॉग पर नज़र रखें। हमलावर सुरक्षा तकनीक की अगली पीढ़ी से एक कदम आगे रहने के लिए अपने टूलकिट को लगातार अपडेट कर रहे हैं, लेकिन रक्षा के मूल सिद्धांत नहीं बदले हैं। यदि आप उन्हें एन्क्रिप्शन चरण तक पहुंचने से पहले रोक सकते हैं, तो क्वांटम-प्रतिरोधी दांव कोई मायने नहीं रखेंगे।
