El ransomware Kyber ataca sistemas Windows y servidores VMware ESXi con variantes que usan cifrado post-cuántico Kyber1024 (aunque en ESXi es falso, empleando ChaCha8/RSA-4096). Rapid7 detectó dos versiones: una para ESXi (cifra almacenes de datos y modifica interfaces) y otra para Windows (escrita en Rust, elimina copias de seguridad y apaga VMs Hyper-V). Ambas comparten infraestructura de rescate y afectaron a un contratista de defensa estadounidense. Los archivos cifrados reciben extensiones ".xhsyw" (ESXi) o «.#~~~» (Windows).

Ransomware Kyber ataca Windows y ESXi

Una nueva operación de ransomware Kyber está atacando recientemente sistemas Windows y servidores VMware ESXi, con una variante que implementa el cifrado post-cuántico Kyber1024.

La empresa de ciberseguridad Rapid7 detectó y analizó dos variantes distintas de Kyber en marzo de 2026 durante una intervención. Ambas variantes se desplegaron en la misma red: una dirigida a VMware ESXi y la otra a servidores de archivos Windows.

"La variante para ESXi está diseñada específicamente para entornos VMware, con capacidades de cifrado de almacenes de datos, terminación opcional de máquinas virtuales y alteración de interfaces de administración", explica Rapid7. "La variante para Windows, escrita en Rust, incluye una función autodenominada 'experimental' para atacar Hyper-V".

Ambas variantes comparten el mismo ID de campaña e infraestructura de rescate basada en Tor, por lo que fueron desplegadas por la misma filial de ransomware, que probablemente buscaba maximizar el impacto cifrando todos los servidores simultáneamente.

Hasta el momento, solo se ha encontrado una víctima registrada en el portal de extorsión de datos de Kyber, que es un contratista de defensa y proveedor de servicios de TI estadounidense multimillonario.

Rapid7 afirma que la variante ESXi enumera todas las máquinas virtuales (VM) de la infraestructura, cifra los archivos de almacenamiento de datos y luego modifica las interfaces ESXi con notas de rescate para guiar a las víctimas a través del proceso de pago y recuperación.

Aunque anuncia un cifrado "postcuántico" basado en la encapsulación de claves Kyber1024, Rapid7 ha comprobado que estas afirmaciones son falsas para el cifrador de Linux ESXi.

En la versión para Linux, el ransomware utiliza ChaCha8 para el cifrado de archivos y RSA-4096 para el cifrado de claves.

Los archivos pequeños (<1 MB) se cifran por completo y se les añade la extensión ".xhsyw", mientras que los archivos entre 1 MB y 4 MB solo tienen cifrado el primer MB. Los archivos de más de 4 MB se cifran de forma intermitente según la configuración del operador.

La variante para Windows, escrita en Rust, implementa Kyber1024 y X25519 para la protección de claves, en consonancia con lo que afirma la nota de rescate. "Esto confirma que Kyber no se utiliza para el cifrado directo de archivos. En cambio, Kyber1024 protege el material de la clave simétrica, mientras que AES-CTR se encarga del cifrado de grandes volúmenes de datos", explica Rapid7.

Si bien el uso de criptografía post-cuántica es destacable, no cambia el resultado para las víctimas. Independientemente de si el atacante utiliza RSA o Kyber1024, los archivos siguen siendo irrecuperables sin acceso a la clave privada del atacante.

La variante para Windows añade la extensión «.#~~~» a los archivos cifrados, finaliza los servicios, elimina las copias de seguridad e incluye una función experimental para apagar las máquinas virtuales Hyper-V.

La variante para Windows está diseñada para eliminar una amplia gama de rutas de recuperación de datos, borrando las instantáneas de usuario, deshabilitando la reparación de arranque, deteniendo los servicios de SQL, Exchange y copias de seguridad, borrando los registros de eventos y vaciando la Papelera de reciclaje de Windows.

Rapid7 destacó una elección inusual de mutex en la versión de Kyber para Windows, que parece hacer referencia a una canción de la plataforma musical Boomplay. En general, la versión para Windows parece más madura técnicamente, mientras que la versión para ESXi actualmente carece de algunas de sus funcionalidades.

Fuentes:
http://blog.segu-info.com.ar/2026/04/ransomware-kyber-ataca-windows-y-esxi.html