Ransomware Kyber: почему квантово-устойчивое шифрование стало новым «страшилкой» в кибербезопасности
TL;DR
Ransomware Kyber: почему квантово-устойчивое шифрование стало новым «страшилкой» в кибербезопасности
Мир программ-вымогателей стал еще сложнее. Новый игрок на арене, получивший название «Kyber», начал привлекать внимание, внедряя постквантовую криптографию (PQC) в свои процедуры шифрования для Windows. В апреле 2026 года эксперты по безопасности подтвердили, что это первый случай, когда семейство программ-вымогателей действительно использует квантово-устойчивые алгоритмы в своем вредоносном коде. По сути, это демонстрация силы — способ для преступников показать, что они «готовятся к будущему» и защищают свои методы вымогательства от неизбежного развития квантовых вычислений.
Но так ли это страшно, как звучит? Группа Kyber в настоящее время атакует как среды Windows, так и VMware ESXi, но если заглянуть «под капот», реальность оказывается более фрагментированной, чем предполагает их маркетинг.
Технический разрыв: Windows против ESXi
Когда в марте этого года специалисты Rapid7 проанализировали версию вредоносного ПО Kyber для Windows, они обнаружили угрозу, написанную на языке Rust. Она использует комбинацию Kyber1024 и X25519 для блокировки симметричных ключей. Используя Kyber1024, злоумышленники пытаются привести свою инфраструктуру в соответствие с постквантовыми стандартами, фактически возводя стену, которую даже будущему квантовому оборудованию будет трудно преодолеть.
А что насчет ESXi? Несмотря на громкие заявления группы о повсеместном внедрении постквантовых технологий, файлы, нацеленные на ESXi, на удивление... обычны. Они придерживаются старой доброй надежности ChaCha8 и RSA-4096. Это классический случай «делай, как я говорю, а не как я делаю». Тем не менее, несмотря на техническое несоответствие между двумя версиями, обе используют один и тот же идентификатор кампании и единую инфраструктуру на базе Tor для выполнения грязной работы по переговорам о выкупе и платежам.
Этот переход к постквантовой криптографии в программах-вымогателях — расчетливый шаг. Это отчасти позерство, отчасти стратегическое позиционирование. Внедряя эти алгоритмы, банда Kyber позиционирует себя как авангард «квантового» преступного мира, заставляя команды безопасности переосмыслить долгосрочную ценность данных, удерживаемых в заложниках.
Больше, чем просто математика: операционный план
Пусть вас не отвлекает сложный криптографический жаргон: Kyber — это типичный кошмар для корпоративного IT. Шифрование — это лишь последний гвоздь в крышку гроба; настоящий ущерб наносится на этапе подготовки. Версия для Windows оснащена деструктивными функциями, призванными лишить вас возможности восстановления.
Вот как они обычно проникают в сеть:
- Завершение работы служб: Вредоносное ПО систематически отключает критически важные системные службы, гарантируя, что файлы могут быть заблокированы без сопротивления со стороны ОС.
- Саботаж резервных копий: Оно активно ищет локальные резервные копии и удаляет их, чтобы вы не могли просто «восстановиться со вчерашнего дня».
- Уничтожение доказательств: Оно очищает журналы событий Windows и удаляет теневые копии томов (Volume Shadow Copies), стирая свои цифровые следы и уничтожая встроенные инструменты восстановления.
- Гибридное шифрование: Сочетая Kyber1024 с X25519, злоумышленники фактически запирают дверь на два замка, защищая свои ключи как современными, так и квантово-устойчивыми слоями.
Разрыв между брендингом и реальностью
Разница в том, как построены версии для Windows и ESXi, подчеркивает тенденцию, которую мы наблюдаем уже много лет: злоумышленники используют «технический престиж» как психологическое оружие. Если убедить жертву в том, что шифрование «защищено от квантовых компьютеров», она с меньшей вероятностью попытается взломать его методом перебора.
| Функция | Версия для Windows | Версия для ESXi |
|---|---|---|
| Основной язык | Rust | Не указан |
| Алгоритмы шифрования | Kyber1024, X25519 | ChaCha8, RSA-4096 |
| Инфраструктура | На базе Tor | На базе Tor |
| Основная цель | Шифрование всей системы | Нарушение работы виртуальных машин |
Как отмечается в отчетах об экспериментах банды Kyber с этими технологиями, внедрение PQC в настоящее время больше связано с имиджем, чем с практической пользой. Будем честны: большинство программ-вымогателей не расшифровываются не потому, что математика слишком сложна, а потому, что злоумышленники допустили ошибки в реализации или управлении ключами. Использование PQC не делает программу-вымогатель «неуязвимой» сегодня, но сигнализирует об изменении того, как эти группы смотрят на будущее своего «бизнеса».
Атаки Kyber на Windows и ESXi — это четкое напоминание о том, что высокоценные корпоративные цели остаются главным приоритетом. Они хотят создать ощущение неизбежности. Они хотят, чтобы вы поверили: как только замок закрыт, данные потеряны навсегда.
Для специалистов по безопасности советы остаются прежними, даже если инструменты становятся более изощренными: храните резервные копии в изолированной среде (air-gapped), следите за подозрительным завершением работы служб и, ради всего святого, следите за своими журналами событий. Злоумышленники постоянно обновляют свой инструментарий, чтобы быть на шаг впереди технологий защиты, но основы безопасности не изменились. Если вы сможете остановить их до того, как они перейдут к фазе шифрования, квантово-устойчивые «навороты» не будут иметь никакого значения.
