AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Nueva operación de ransomware Kyber ataca sistemas Windows y VMware ESXi con cifrado post-cuántico**

admin

### Introducción

En las últimas semanas, se ha detectado una nueva campaña de ransomware denominada Kyber, que está dirigiendo sus ataques tanto a sistemas Windows como a entornos VMware ESXi. Lo que distingue a esta operación es la integración de Kyber1024, un algoritmo de cifrado post-cuántico, en algunas de sus variantes. Este avance marca un hito en la evolución de las amenazas de ransomware, anticipando escenarios donde los atacantes buscan adelantarse a las futuras capacidades de descifrado que proporcionarán los ordenadores cuánticos.

### Contexto del Incidente o Vulnerabilidad

El ransomware Kyber fue identificado por primera vez a finales de mayo de 2024 por equipos de respuesta a incidentes en Europa y Norteamérica. Su actividad se ha centrado en entornos empresariales con infraestructuras híbridas, afectando especialmente a organizaciones con servidores virtualizados bajo VMware ESXi y sistemas Windows Server. Según telemetría de varios proveedores de seguridad, las infecciones han escalado rápidamente, afectando a pequeñas y medianas empresas, así como a grandes corporaciones del sector financiero y tecnológico.

La elección de VMware ESXi como vector principal para la propagación del ransomware no es casual: la virtualización es un pilar en la infraestructura IT moderna. Los ataques a hipervisores pueden tener un efecto devastador al permitir cifrar múltiples máquinas virtuales desde un único punto de acceso, amplificando el impacto del ataque.

### Detalles Técnicos

#### CVE y vectores de ataque

Las investigaciones preliminares sugieren que Kyber está explotando vulnerabilidades conocidas en VMware ESXi, concretamente CVE-2021-21974 y CVE-2023-20867, ambas relacionadas con ejecución remota de código y escalada de privilegios. En sistemas Windows, los atacantes han empleado exploits para CVE-2020-1472 (Zerologon), así como credenciales comprometidas y herramientas de movimiento lateral basadas en SMB y RDP.

#### Algoritmos de cifrado y TTP

La variante más sofisticada de Kyber introduce el algoritmo Kyber1024, una implementación post-cuántica seleccionada por el NIST para resistir ataques de ordenadores cuánticos. Este algoritmo se combina con cifrados simétricos tradicionales (AES-256 y ChaCha20), asegurando que los datos cifrados no puedan ser recuperados ni siquiera mediante técnicas de descifrado cuántico en el futuro.

Según los reportes, el flujo típico de ataque sigue el marco MITRE ATT&CK, destacando las siguientes tácticas y técnicas:
– **Initial Access (TA0001):** explotación de vulnerabilidades en ESXi y uso de credenciales robadas.
– **Execution (TA0002):** despliegue de payload mediante scripts PowerShell y binarios ELF para Linux/ESXi.
– **Defense Evasion (TA0005):** desactivación de soluciones EDR y borrado de logs.
– **Impact (TA0040):** cifrado de volúmenes y archivos críticos, incluyendo backups y snapshots de VM.

#### Indicadores de compromiso (IoC)

Entre los IoC asociados a Kyber se encuentran:
– Hashes SHA256 de payloads específicos para Windows y ESXi.
– Presencia de ficheros .kyber en los sistemas comprometidos.
– IPs de C2 en ASN de Europa del Este.
– Cadenas en los ransom notes haciendo referencia explícita a «Kyber post-quantum security».

### Impacto y Riesgos

El uso de cifrado post-cuántico eleva exponencialmente la dificultad de recuperación de los datos cifrados sin la clave privada correspondiente. Empresas afectadas han reportado indisponibilidad total de servicios virtualizados, incluyendo interrupciones en operaciones críticas y pérdidas económicas que superan los 2 millones de euros en los primeros incidentes documentados.

La rapidez de cifrado observada en entornos ESXi es especialmente preocupante: en algunos casos, el ransomware ha cifrado más de 50 máquinas virtuales en menos de 15 minutos. Además, los atacantes han amenazado con filtrar datos sensibles para incrementar la presión sobre las víctimas, lo que expone a las empresas a sanciones por incumplimiento de GDPR y otras normativas sectoriales.

### Medidas de Mitigación y Recomendaciones

– **Actualización urgente:** Aplicar los últimos parches de seguridad en VMware ESXi y sistemas Windows, especialmente aquellos relacionados con CVE-2021-21974, CVE-2023-20867 y CVE-2020-1472.
– **Segmentación de red:** Limitar el acceso a los hosts ESXi y restringir el uso de RDP y SMB sólo a usuarios autorizados.
– **Copia de seguridad offline:** Mantener backups fuera de línea y verificar regularmente su integridad.
– **Monitorización y detección:** Implementar soluciones EDR/XDR con reglas específicas para identificar comportamientos anómalos y la presencia de IoC asociados.
– **Formación y concienciación:** Incrementar la capacitación de los equipos internos en la detección de movimientos laterales y técnicas de evasión.

### Opinión de Expertos

Expertos en criptografía y ciberseguridad, como el equipo de análisis de Kaspersky y investigadores de SANS Institute, coinciden en que la implementación de Kyber1024 en un ransomware real representa un cambio de paradigma. “Estamos ante los primeros casos de ransomware capaces de sobrevivir a la computación cuántica, lo que pone en jaque las estrategias tradicionales de recuperación”, afirma Elena García, analista de amenazas en S21sec.

### Implicaciones para Empresas y Usuarios

La aparición de Kyber obliga a las organizaciones a replantearse su postura defensiva. La dependencia de la virtualización y el almacenamiento en red se convierte en un vector de riesgo crítico. Además, las regulaciones como el GDPR y la inminente NIS2 en la UE refuerzan la obligación de notificar las brechas y adoptar medidas de protección avanzadas, bajo amenaza de sanciones económicas y daños reputacionales.

### Conclusiones

Kyber inaugura una nueva era en el ransomware, anticipándose a la llegada de la computación cuántica y eludiendo los métodos tradicionales de recuperación. Las organizaciones deben priorizar la actualización de sus sistemas, reforzar la segmentación de red y prepararse para responder a ataques que ya no podrán resolverse con técnicas forenses convencionales. El futuro del ransomware será, sin duda, post-cuántico.

(Fuente: www.bleepingcomputer.com)