Apr 22, 2026 Redazione Attacchi, In evidenza, News, RSS, Tecnologia 0

Kyber è un gruppo ransomware relativamente recente che ha attirato un po’ di attenzione su di sé per le ultime operazioni condotte e una postura piuttosto esibizionista nel dark Web. Questa settimana, ha pubblicato un post a proposito di un attacco riuscito usando un sistema di cifratura post-quantum per bloccare i dati della vittima.  Dietro la narrativa tecnologica avanzata si nasconde, però, una realtà più complessa, in cui marketing criminale e implementazione tecnica non sempre coincidono.

Secondo l’analisi pubblicata da Rapid7, la gang ha sviluppato due varianti distinte del ransomware, entrambe utilizzate nello stesso attacco per massimizzare l’impatto su infrastrutture eterogenee.

Attacchi coordinati tra Windows e VMware ESXi

La strategia operativa di Kyber è ben precisa: colpire simultaneamente ambienti virtualizzati e server tradizionali, ogni ambiente con una versione dedicata del malware. Le due varianti analizzate condividono infatti lo stesso campaign ID e la stessa infrastruttura di pagamento basata su Tor, suggerendo l’azione di un unico affiliato.

Ci sono, però, differenze evidenti tra le due. La variante dedicata a VMware ESXi è progettata per ambienti virtualizzati enterprise, dove può censire tutte le macchine virtuali, cifrare i datastore e modificare le interfacce di gestione con messaggi di riscatto, guidando le vittime nel processo di pagamento.

Parallelamente, la versione Windows — sviluppata in Rust — prende di mira i file server e introduce anche funzionalità sperimentali per interagire con ambienti Hyper-V, ampliando ulteriormente la superficie d’attacco.

Il “falso” post-quantum e la realtà crittografica

Il punto più interessante di tutta la vicenda riguarda la presunta adozione di crittografia post-quantum. La gang pubblicizza l’uso di Kyber1024, un algoritmo di key encapsulation appartenente alla famiglia delle tecnologie post-quantum. Tuttavia, l’analisi tecnica rivela una situazione diversa. Nella variante Linux/ESXi, il post-quantum non è realmente utilizzato perché il ransomware impiega ChaCha8 per la cifratura dei file e RSA-4096 per la protezione delle chiavi, seguendo schemi già consolidati nel panorama ransomware.

Diverso il caso della variante Windows, dove Kyber1024 viene effettivamente implementato — ma con un ruolo limitato. Come chiarisce Rapid7, Kyber non cifra direttamente i dati, ma protegge le chiavi simmetriche utilizzate da algoritmi tradizionali come AES-CTR.

Il risultato è che l’introduzione del post-quantum non cambia l’impatto operativo dell’attacco. Senza la chiave privata degli attaccanti, i dati restano comunque irrecuperabili, indipendentemente dall’algoritmo utilizzato.

Tecniche di distruzione e anti-recovery sempre più aggressive

La variante Windows appare più evoluta anche per quanto riguarda le tecniche di sabotaggio dei sistemi compromessi. Il malware è progettato per eliminare ogni possibile via di recupero dei dati, attraverso una serie coordinata di azioni.

Tra queste emergono la cancellazione delle shadow copies, la disattivazione dei meccanismi di ripristino, l’interruzione di servizi critici come SQL Server ed Exchange e la rimozione dei backup. Inoltre, il ransomware procede con la pulizia dei log di sistema e del cestino, rendendo più difficile anche l’attività forense post-incidente.

Interessante — e quasi ironico — è la presenza di un mutex che sembra fare riferimento a una canzone sulla piattaforma Boomplay, un dettaglio che suggerisce un certo grado di personalizzazione o “firma” degli sviluppatori.

Resta il fatto che in questa fase Kyber sta facendo più marketing che sfoggio di capacità tecnologiche avanzate. Il motivo non è chiarissimo dal momento che non c’è alcun motivo per un gruppo ransomware di “farsi pubblicità”, ma evidentemente anche l’ego dei criminali vuole la sua parte.