**Rapid7**の研究者は、2026年3月にインシデント対応中に、2つの異なる**Kyber**亜種を分析しました。両方の亜種が同じネットワークに展開されており、一方はVMware ESXi環境を特に標的とし、もう一方はWindowsファイルサーバーに焦点を当てていました。 ### ESXi亜種：VMwareに特化した暗号化 「ESXi亜種はVMware環境向けに特別に構築されており、データストアの暗号化、仮想マシンのオプションによる終了、管理インターフェースの改ざんといった機能を持っています」と**Rapid7**は説明しています。 ESXi亜種は、すべての仮想マシン（VM）を列挙し、データストアファイルを暗号化し、ESXiインターフェースを身代金要求メモで改ざんして、被害者に身代金の支払いと復旧プロセスを案内します。  _**Kyberランサムウェアの被害者恐喝ポータル** 出典: BleepingComputer.com_ ### ポスト量子暗号化の主張と現実 ランサムウェアは**Kyber1024**キーカプセル化に基づく「ポスト量子」暗号化を宣伝していますが、**Rapid7**は、Linux ESXi暗号化プログラムにとってこれらの主張は誤解を招くものであることを発見しました。Linuxバージョンは、ファイルの暗号化にChaCha8を、キーのラッピングにRSA-4096を使用しています。 小さなファイル（<1 MB）は「.xhsyw」拡張子が付与されて完全に暗号化されますが、より大きなファイルはサイズとオペレーターの設定に基づいて部分的または断続的な暗号化を受けます。  _**ELFバイナリに埋め込まれた身代金要求メモ** 出典: Rapid7_ ### Windows亜種：Rustベースで、より洗練されている可能性 Rustで記述されたWindows亜種は、身代金要求メモの主張と一致して、キー保護のために**Kyber1024**とX25519を実装しています。 「これは、**Kyber**が直接的なファイル暗号化に使用されていないことを確認するものです。代わりに、**Kyber1024**は対称キーマテリアルを保護し、AES-CTRがバルクデータ暗号化を処理します」と**Rapid7**は説明しています。 RSAまたは**Kyber1024**のいずれが使用されているかに関わらず、攻撃者の秘密鍵なしではファイルは復旧できません。 Windows亜種は、暗号化されたファイルに「.#~~~」拡張子を付与し、サービスを終了させ、バックアップを削除し、Hyper-V仮想マシンをシャットダウンする実験的な機能を含んでいます。これは、シャドウコピーを削除し、ブート修復を無効にし、SQL、Exchange、およびバックアップサービスを停止させ、イベントログをクリアし、Windowsのごみ箱をワイプすることによって、データ復旧パスを排除するように設計されています。  _**Kyber for Windows CLI** 出典: Rapid7_ **Rapid7**によると、**Kyber**のWindows亜種は、Boomplay音楽プラットフォーム上の曲を参照する、珍しいミューテックスも使用しています。全体として、Windows亜種はESXi亜種よりも技術的に成熟しているようです。 現在、**Kyber**のデータ恐喝ポータルには、アメリカの数十億ドル規模の防衛請負業者およびITサービスプロバイダーである1つの被害者のみがリストされています。