Kyber ransomware cilja Windows i VMware ESXi sisteme
Nova Kyber ransomware operacija cilja Windows sisteme i VMware ESXi okruženja, a Rapid7 je tokom incident response rada u martu 2026. analizirao dve varijante korišćene u istoj mreži. ESXi varijanta popisuje virtuelne mašine, šifruje datastore fajlove i menja management interfejse porukama za otkup, dok Windows varijanta, pisana u Rustu, gasi servise, briše backup tragove, shadow copies i event logove. Iako Kyber u porukama pominje postkvantnu enkripciju, Rapid7 navodi da Linux ESXi verzija zapravo koristi ChaCha8 i RSA-4096, dok Windows verzija koristi Kyber1024 i X25519 za zaštitu ključeva, a AES-CTR za šifrovanje fajlova.
Postkvantna enkripcija ovde više menja sliku o ambiciji napadača nego samu posledicu po žrtvu. Za firmu je rezultat isti: ako su serveri, virtuelizacija i backup putanje pogođeni istovremeno, oporavak zavisi od pripreme pre incidenta, a ne od toga da li napadač koristi RSA, Kyber1024 ili neku drugu zaštitu ključeva.
- Posebno štititi pristup VMware ESXi, Hyper-V i fajl serverima kroz MFA, segmentaciju i strogu kontrolu administratorskih naloga
- Pratiti pokušaje gašenja virtuelnih mašina, backup servisa, SQL i Exchange servisa, kao i brisanje shadow copies
- Držati offline ili immutable backup kopije i redovno proveravati da li se iz njih zaista može vratiti rad sistema
- Slati logove na odvojeno mesto kako brisanje lokalnih Windows event logova ne bi uklonilo tragove napada
- U incident response planu posebno obraditi scenario istovremenog šifrovanja Windows servera i virtuelizacione infrastrukture