Siber suçlular “post‑quantum” söylemini artık fidyeye malzeme ediyor. Yeni ortaya çıkan Kyber adlı fidye yazılımı, notlarında ML‑KEM‑1024 (eski adıyla Kyber1024) kullandığını iddia ediyor. Rapid7’nin incelediği örneklerde Windows sürümü gerçekten hibrit bir şema içinde ML‑KEM‑1024 ve X25519’la anahtar koruması uyguluyor; ancak ESXi tarafında “post‑quantum” iddiası yalnızca göz boyama. Linux/ESXi örneği dosya verisini ChaCha8 ile şifreleyip anahtarı RSA‑4096 ile sarmalıyor. Bu da saldırganların “kuantuma dayanıklı” algısıyla baskı kurmaya çalıştığını gösteriyor.
Rapid7’ye göre Mart 2026’da aynı ağa iki farklı Kyber yükü bırakıldı: biri VMware ESXi depolama alanlarını hedefliyor, diğeri Windows dosya sunucularını. İkisi de aynı kampanya kimliğini ve Tor altyapısını paylaşıyor. Windows örneği Rust ile yazılmış, deneysel Hyper‑V kapatma komutu da içeriyor. ESXi örneği ise veri deposu şifrelemesi ve yönetim arayüzlerine fidye notu enjekte etme gibi yeteneklere sahip. Ancak “AES + X25519 + Kyber” diye pazarlanan kripto, ESXi’de gerçekte ChaCha + RSA‑4096’a dönüyor.
BleepingComputer, Kyber’in sızıntı portalında şimdilik yalnızca bir kurbanın listelendiğini; bunun da çok milyar dolarlık bir ABD savunma yüklenicisi ve BT hizmet sağlayıcısı olduğunu bildiriyor. Windows varyantı dosyalara “.#~~~” uzantısını ekliyor, gölge kopyaları siliyor, yedekleme ve veritabanı servislerini durduruyor ve kurtarma yollarını kapatıyor.
Neden “Kyber” ismi ve ne işe yarıyor?
Buradaki “Kyber”, NIST’in 13 Ağustos 2024’te nihai hale getirdiği FIPS 203 standardındaki ML‑KEM’in eski adından geliyor. ML‑KEM bir KEM (Key Encapsulation Mechanism); yani dosyaları doğrudan şifrelemek yerine simetrik anahtarları güvenli biçimde sarmalamak için kullanılıyor. NIST’in PQC (post‑quantum kriptografi) sürecinde ML‑KEM (Kyber) şifreleme/anahtar anlaşması, ML‑DSA (Dilithium) ve SLH‑DSA (SPHINCS+) ise imza tarafında standartlaştı.
Kyber fidye yazılımında da bu ayrım net: Windows sürümü dosya verisini AES‑CTR ile şifreliyor; ML‑KEM‑1024 ve X25519 ise bu simetrik anahtarı korumak için devreye giriyor. Yani “Kyber kullanıyoruz” ifadesi, dosyaların Kyber’le şifrelendiği anlamına gelmiyor; anahtar sarmalama katmanını işaret ediyor. Buna rağmen, saldırganlar “kuantuma dayanıklı” ibaresini pazarlama unsuru gibi kullanıp mağdurları yıldırmaya çalışıyor.
Pratik sonuç değişmiyor: İster RSA‑4096, ister ML‑KEM‑1024 kullanılsın, saldırganın özel anahtarı olmadan dosyaları geri getirmek mümkün olmuyor. Bu yüzden kurumlar “post‑quantum” etiketine takılmak yerine temel önlemlere odaklanmalı.
Kurumsal özet
- Varlık envanteri ve yama yönetimini sıkı tutun; ESXi ve sanallaştırma ana katmanlarını ayrı izleyin.
- Yedekleri çevrimdışı ve kurtarma tatbikatlarıyla düzenli test edin.
- Kimlik/erişim kontrollerinde en az ayrıcalık ve MFA uygulayın.
- Olay yanıtı ve ağ bölümlendirmeyle yanal hareketi sınırlayın.
Kaynak: www.techspot.com