**Rapid7**-Forscher analysierten im März 2026 während einer Incident-Response zwei verschiedene **Kyber**-Varianten. Beide Varianten wurden im selben Netzwerk eingesetzt, wobei eine speziell auf VMware-ESXi-Umgebungen abzielte und die andere sich auf Windows-Dateiserver konzentrierte. ### ESXi-Variante: VMware-fokussierte Verschlüsselung "Die ESXi-Variante ist speziell für VMware-Umgebungen konzipiert und verfügt über Funktionen zur Verschlüsselung von Datastores, optionale Beendigung von virtuellen Maschinen und die Verunstaltung von Management-Schnittstellen", erklärt **Rapid7**. Die ESXi-Variante zählt alle virtuellen Maschinen (VMs) auf, verschlüsselt Datastore-Dateien und verunstaltet die ESXi-Schnittstellen mit Lösegeldforderungen, um die Opfer durch den Prozess der Lösegeldzahlung und Wiederherstellung zu leiten.  _**Kyber Ransomware Opfer-Erpressungsportal** Quelle: BleepingComputer.com_ ### Post-Quantum-Ansprüche und Realität Während die Ransomware eine 'Post-Quantum'-Verschlüsselung auf Basis der **Kyber1024**-Schlüsselkapselung bewirbt, stellte **Rapid7** fest, dass diese Behauptungen für den Linux-ESXi-Verschlüsseler irreführend sind. Die Linux-Version verwendet ChaCha8 für die Dateiverschlüsselung und RSA-4096 für das Schlüssel-Wrapping. Kleine Dateien (< 1 MB) werden vollständig mit der Erweiterung '.xhsyw' verschlüsselt, während größere Dateien teilweise oder intermittierend verschlüsselt werden, abhängig von der Größe und der Konfiguration des Betreibers.  _**Lösegeldforderung eingebettet in die ELF-Binärdatei** Quelle: Rapid7_ ### Windows-Variante: Rust-basiert und potenziell ausgefeilter Die in Rust geschriebene Windows-Variante implementiert **Kyber1024** und X25519 zum Schutz von Schlüsseln, was den Behauptungen in der Lösegeldforderung entspricht. "Dies bestätigt, dass **Kyber** nicht zur direkten Dateiverschlüsselung verwendet wird. Stattdessen schützt **Kyber1024** das symmetrische Schlüsselmaterial, während AES-CTR die Massenverschlüsselung von Daten übernimmt", erklärt **Rapid7**. Unabhängig davon, ob RSA oder **Kyber1024** verwendet wird, bleiben Dateien ohne den privaten Schlüssel des Angreifers unrettbar. Die Windows-Variante hängt die Erweiterung '.#~~~' an verschlüsselte Dateien an, beendet Dienste, löscht Backups und enthält eine experimentelle Funktion zum Herunterfahren von Hyper-V-Virtuellen Maschinen. Sie ist darauf ausgelegt, Wiederherstellungswege für Daten zu eliminieren, indem Schattenkopien gelöscht, die Boot-Reparatur deaktiviert, SQL-, Exchange- und Backup-Dienste beendet, Ereignisprotokolle gelöscht und der Windows-Papierkorb geleert wird.  _**Kyber für Windows CLI** Quelle: Rapid7_ Die Windows-Variante von **Kyber** verwendet außerdem einen ungewöhnlichen Mutex, der sich auf einen Song auf der Musikplattform Boomplay bezieht, so **Rapid7**. Insgesamt scheint die Windows-Variante technisch ausgereifter zu sein als die ESXi-Variante. Derzeit ist nur ein Opfer auf dem **Kyber**-Daten-Erpressungsportal aufgeführt: ein milliardenschwerer amerikanischer Rüstungsauftragnehmer und IT-Dienstleister.