Un nou virus informatic atacă în același timp Windows și serverele virtuale
' fill='%23FBBC05' d='M0 37V11l17 13z'/%3e%3cpath clip-path='url(%23b)' fill='%23EA4335' d='M0 11l17 13 7-6.1L48 14V0H0z'/%3e%3cpath clip-path='url(%23b)' fill='%2334A853' d='M0 37l30-23 7.9 1L48 0v48H0z'/%3e%3cpath clip-path='url(%23b)' fill='%234285F4' d='M48 48L17 24l-4-3 35-10z'/%3e%3c/svg%3e){kind=small}
:format(webp)/https://playtech.ro/wp-content/uploads/2026/03/Inteligenta-artificiala-ajuta-hackerii.jpg)
O nouă familie de ransomware numită Kyber începe să atragă atenția în lumea securității informatice după ce cercetătorii de la Rapid7 au analizat două variante diferite folosite în același incident: una pentru servere Windows, cealaltă pentru infrastructuri VMware ESXi. Ce face povestea și mai interesantă este faptul că varianta pentru Windows folosește într-adevăr Kyber1024, un algoritm din zona criptografiei post-quantum, adică un tip de protecție gândit pentru o eră în care calculatoarele cuantice ar putea sparge mai ușor metodele clasice de criptare.
La prima vedere, asta sună ca un salt tehnologic serios pentru infractorii cibernetici. În realitate, lucrurile sunt ceva mai nuanțate. Rapid7 spune clar că doar varianta de Windows respectă promisiunea din mesajul de șantaj privind folosirea Kyber1024. Varianta pentru Linux și ESXi se laudă și ea cu aceeași tehnologie, dar în practică folosește alte metode: ChaCha8 pentru criptarea fișierelor și RSA-4096 pentru protejarea cheilor. Cu alte cuvinte, atacatorii folosesc inclusiv marketing tehnologic în propriile note de răscumpărare.
Chiar și așa, apariția acestui ransomware este importantă pentru că arată direcția în care evoluează astfel de atacuri, scrie presa străină de specialitate. Nu mai este vorba doar despre blocarea fișierelor pe un singur tip de sistem, ci despre campanii gândite să lovească în paralel mai multe zone critice ale unei companii, astfel încât impactul să fie total. Ambele mostre analizate aveau același ID de campanie și aceeași infrastructură Tor pentru negociere, semn că au fost lansate coordonat de același afiliat ransomware.
De ce Kyber este mai periculos decât pare la prima vedere
Pericolul real nu stă doar în cuvântul „post-quantum”, ci în modul în care atacul este construit. Varianta pentru ESXi este special făcută pentru mediile VMware: inventariază mașinile virtuale, criptează fișierele din datastore, poate opri opțional mașinile virtuale și chiar modifică interfețele de administrare pentru a afișa mesajele de răscumpărare. Asta înseamnă că ținta nu este un singur calculator, ci chiar coloana vertebrală a infrastructurii IT a unei organizații.
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1748332487/d4743be57ebf74ab177cc785de7cc114-t.jpg)
În paralel, varianta pentru Windows, scrisă în Rust, vine cu o suită mult mai matură de funcții distructive. Poate șterge shadow copies, dezactiva mecanismele de recovery la boot, opri servicii precum SQL, Exchange și soluții de backup, goli Recycle Bin și șterge logurile de evenimente. Mai include și o funcție descrisă drept „experimentală” pentru oprirea mașinilor virtuale Hyper-V. Cu alte cuvinte, nu se rezumă la criptarea datelor, ci încearcă să taie aproape toate drumurile de recuperare.
Această combinație între lovitura în virtualizare și lovitura în serverele Windows explică de ce cercetătorii vorbesc despre risc de blocaj operațional complet. Dacă ataci simultan platforma de virtualizare și file serverele, compania lovită poate rămâne fără acces la date, fără sisteme virtuale și fără opțiuni rapide de restaurare. Exact asta pare să fi urmărit operatorul Kyber în incidentul analizat.
Ce înseamnă, de fapt, „post-quantum” în acest caz
Partea cea mai spectaculoasă din titluri este folosirea Kyber1024, însă aici e importantă o precizare. În varianta de Windows, Kyber1024 nu criptează direct fișierele. Rolul său este să protejeze materialul criptografic folosit pentru cheia simetrică, în timp ce criptarea masivă a datelor este făcută cu AES-256-CTR, alături de X25519 pentru protecția cheilor. Asta face atacul interesant din punct de vedere tehnic, dar nu schimbă concluzia pentru victimă: fără cheia privată a atacatorului, fișierele rămân practic imposibil de recuperat.
:format(webp)/https://playtech.ro/wp-content/uploads/2026/05/Google-stiri-surse-schimbare-316x158.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/03/conversatii-whatsapp-fara-cont-316x158.jpg)
Altfel spus, nu faptul că este „post-quantum” face ransomware-ul mai devastator în mod direct pentru organizația atacată. Fie că atacatorul folosește RSA, fie că folosește Kyber1024, rezultatul imediat este același: sistemele sunt blocate, operațiunile sunt întrerupte, iar presiunea pentru plată crește. Noutatea stă mai degrabă în semnalul transmis: grupările ransomware încep să experimenteze cu criptografie din noua generație, inclusiv ca element de diferențiere și intimidare.
Kyber nu pare încă una dintre cele mai mari operațiuni de pe piața ransomware, însă semnele arată că nu este un actor banal. Gruparea este activă de mai multe luni, iar analizele din industria de securitate indică faptul că a listat deja cel puțin o victimă importantă, un contractor american major din zona de apărare și servicii IT. Faptul că operatorii combină atacuri pe Windows și ESXi, plus tactici agresive de ștergere a urmelor și sabotare a recuperării, îi face mult mai periculoși decât ar sugera notorietatea lor actuală.
Pe scurt, Kyber este important nu doar pentru că folosește un termen la modă din criptografie, ci pentru că arată cum ar putea arăta următoarea etapă a ransomware-ului: atacuri coordonate pe mai multe platforme, tehnologii tot mai sofisticate și un accent tot mai mare pe paralizarea completă a infrastructurii victimei. Pentru companii, lecția nu este despre fizica cuantică, ci despre ceva mult mai simplu: dacă nu ai segmentare, backup-uri protejate și răspuns rapid la incidente, atacatorii nu mai au nevoie de magie ca să te lase fără operațiuni.
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1667480684/550982fefd5bb4e584265ef9107ecf8b-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1737978465/ac06959e614454789f4208d627d77785-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1737972417/b43f4937191b9a6791b54331f84f314e-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1646818613/72a245196f338c80435c1edf13cdf732-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1683783849/f94a3eb29c2a5cb82b140c4ad9636c84-o.png)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/04/1610191967/2491770cd6c017264174a39c4810c33e-o.png)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1778138107/a4c022556bee2e12deeae8d871063e51-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/05/1778137329/6dc8d64d0144773dd351146896b86f6b-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/Ce-sunt-tapas-gustarile-pe-care-spaniolii-le-transforma-intr-un-adevarat-ritual.-Povestea-unui-obicei-celebru-in-toata-lumea-scaled.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/2026-Samsung-WindFree-Premiere.png)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/Tarile-in-care-salariatii-pastreaza-cea-mai-mare-parte-din-salarii-dupa-plata-taxelor.-Romania-este-depasita-de-aproape-toate-statele-din-UE-.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/Meteorit-captura-SUA.jpg)