Pesquisadores da **Rapid7** analisaram duas variantes distintas do **Kyber** em março de 2026 durante uma resposta a incidentes. Ambas as variantes foram implantadas na mesma rede, com uma visando especificamente ambientes VMware ESXi e a outra focando em servidores de arquivos Windows. ### Variante ESXi: Criptografia Focada em VMware "A variante ESXi é construída especificamente para ambientes VMware, com capacidades para criptografia de datastore, encerramento opcional de máquinas virtuais e defacement de interfaces de gerenciamento", explica a **Rapid7**. A variante ESXi enumera todas as máquinas virtuais (VMs), criptografa arquivos de datastore e substitui as interfaces ESXi por notas de resgate para guiar as vítimas através do processo de pagamento e recuperação.  _**Portal de extorsão do ransomware Kyber para vítimas** Fonte: BleepingComputer.com_ ### Alegações Pós-Quânticas e Realidade Embora o ransomware anuncie criptografia 'pós-quântica' baseada no encapsulamento de chaves **Kyber1024**, a **Rapid7** descobriu que essas alegações são enganosas para o criptografador Linux ESXi. A versão Linux usa ChaCha8 para criptografia de arquivos e RSA-4096 para encapsulamento de chaves. Arquivos pequenos (<1 MB) são totalmente criptografados com a extensão '.xhsyw', enquanto arquivos maiores passam por criptografia parcial ou intermitente com base no tamanho e na configuração do operador.  _**Nota de resgate incorporada no binário ELF** Fonte: Rapid7_ ### Variante Windows: Baseada em Rust e Potencialmente Mais Sofisticada A variante Windows, escrita em Rust, implementa **Kyber1024** e X25519 para proteção de chaves, alinhando-se com as alegações da nota de resgate. "Isso confirma que o **Kyber** não é usado para criptografia direta de arquivos. Em vez disso, o **Kyber1024** protege o material da chave simétrica, enquanto o AES-CTR lida com a criptografia de dados em massa", explica a **Rapid7**. Independentemente de o RSA ou o **Kyber1024** ser usado, os arquivos permanecem irrecuperáveis sem a chave privada do atacante. A variante Windows anexa a extensão '.#~~~' a arquivos criptografados, encerra serviços, exclui backups e inclui um recurso experimental para desligar máquinas virtuais Hyper-V. Ela foi projetada para eliminar caminhos de recuperação de dados, excluindo cópias de sombra, desabilitando o reparo de inicialização, encerrando serviços SQL, Exchange e de backup, limpando logs de eventos e apagando a Lixeira do Windows.  _**Kyber para CLI do Windows** Fonte: Rapid7_ A variante Windows do **Kyber** também usa um mutex incomum, referenciando uma música na plataforma de música Boomplay, de acordo com a **Rapid7**. No geral, a variante Windows parece mais madura tecnicamente do que a variante ESXi. Atualmente, apenas uma vítima está listada no portal de extorsão de dados do **Kyber**: um contratado de defesa americano e provedor de serviços de TI, avaliado em bilhões de dólares.