Исследователи из Rapid7 обнаружили новое семейство вредоносного ПО, получившее название Kyber. Злоумышленники используют одноименный алгоритм Crystals-Kyber, ставший одним из финалистов конкурса NIST по постквантовой криптографии. Программа существует в двух модификациях: для сред Windows и Linux. Реальное применение «квантово-устойчивой» защиты зафиксировано только в Windows-версии, написанной на языке Rust. Там алгоритм Kyber-1024 отвечает за инкапсуляцию симметричных ключей, в то время как сами данные шифруются стандартным AES-CTR.
Между психологией и криптографией Версия для Linux ведет себя консервативнее, полагаясь на связку ChaCha8 и RSA-4096. Вредонос нацелен на корпоративный сектор: он умеет отключать виртуальные машины VMware ESXi, удалять теневые копии и очищать журналы событий, чтобы максимально затруднить восстановление системы. Эксперты компании SEQ полагают, что внедрение постквантовых методов — это прежде всего инструмент давления. Для пострадавшей компании нет практической разницы, какой именно математический аппарат лишил ее доступа к файлам, но упоминание «неуязвимых» технологий добавляет хакерам веса в переговорах о выкупе.
Интересной деталью стала привязка кода к географии. В бинарных файлах обнаружен мьютекс с упоминанием африканского музыкального сервиса Boomplay. Это может указывать на регион происхождения разработчиков, хотя прямых доказательств связи с конкретной группировкой нет. Технический анализ показывает, что проект находится в стадии активного развития: функции для работы с Hyper-V в Windows-версии сами создатели помечают как экспериментальные.
Комментарии (0)
Пока нет комментариев. Будьте первым!