Image credit: Freepix
Taktik Enkripsi Lintas Platform Ransomware Kyber – Operasi ransomware terbaru bernama Kyber kini tengah membidik sistem Windows dan endpoint VMware ESXi dalam rangkaian serangan global.
Salah satu varian dari malware ini bahkan mengeklaim telah mengimplementasikan enkripsi pasca-kuantum (post-quantum encryption) menggunakan algoritma Kyber1024.
Peneliti keamanan berhasil menganalisis dua varian berbeda dari Kyber pada Maret 2026 selama proses penanganan insiden.
Kedua varian tersebut ditemukan dikerahkan dalam jaringan yang sama, yang menunjukkan bahwa afiliasi peretas ini mencoba memaksimalkan dampak serangan dengan mengenkripsi seluruh peladen (server) secara bersamaan.
Salah satu korbannya dilaporkan merupakan perusahaan kontraktor pertahanan dan penyedia layanan TI multinasional.
|
Baca juga: Musang Berbulu Ayam Ransomware Crazy |
Menargetkan Lingkungan Virtual
Varian Kyber untuk Linux/ESXi dibangun khusus untuk melumpuhkan infrastruktur VMware. Perangkat lunak jahat ini memiliki kemampuan untuk:
- Memetakan seluruh mesin virtual (VM) yang ada.
- Mengenkripsi file datastore.
- Mengubah tampilan antarmuka manajemen ESXi dengan catatan tebusan (ransom note).
Meskipun catatan tebusannya mengeklaim penggunaan enkripsi pasca-kuantum, peneliti menemukan bahwa klaim tersebut tidak benar untuk versi Linux ESXi. Kenyataannya, varian ini menggunakan:
- ChaCha8 untuk enkripsi file.
- RSA-4096 untuk pembungkusan kunci (key wrapping).
Metode enkripsinya pun bervariasi tergantung ukuran file: file kecil (<1 MB) akan dienkripsi sepenuhnya, sedangkan file besar (>4 MB) hanya dienkripsi secara berselang (intermittent encryption) sesuai konfigurasi operator guna mempercepat proses tanpa mengurangi daya rusak.
Enkripsi “Kyber1024” yang Sebenarnya
Berbeda dengan versi ESXi, varian Windows yang ditulis menggunakan bahasa pemrograman Rust benar-benar menerapkan algoritma Kyber1024 dan X25519 untuk perlindungan kunci.
Namun, peneliti memberikan catatan penting bagi audiens awam, Kyber1024 tidak digunakan untuk mengenkripsi file secara langsung, melainkan untuk melindungi material kunci simetris, sementara enkripsi data massal tetap ditangani oleh AES-CTR.
Meskipun penggunaan kriptografi pasca-kuantum ini terdengar canggih dan futuristik, hal tersebut tidak mengubah nasib para korban.
Baik menggunakan RSA tradisional maupun Kyber1024, file tetap tidak dapat dipulihkan tanpa kunci privat milik penyerang.
Varian Windows ini terlihat lebih matang secara teknis dan memiliki fitur penghancur data yang sangat luas, antara lain:
- Menghapus Shadow Copies dan menonaktifkan fitur perbaikan booting.
- Mematikan layanan krusial seperti SQL, Exchange, dan cadangan (backup).
- Menghapus log peristiwa (event logs) untuk menghilangkan jejak.
- Mengosongkan keranjang sampah (Recycle Bin) Windows.
- Memiliki fitur eksperimental untuk mematikan mesin virtual Hyper-V.
|
Baca juga: Teror Siber di Jalur Produksi |
Mitigasi dan Langkah Penjagaan Infrastruktur
Munculnya Kyber menandai tren baru di mana peretas mulai mengadopsi narasi teknologi masa depan untuk memperkuat tekanan pemerasan mereka.
Untuk melindungi organisasi dari ancaman lintas platform ini, langkah-langkah berikut sangat disarankan:
- Penguatan Lingkungan Virtual: Pastikan antarmuka manajemen VMware ESXi dan Hyper-V tidak dapat diakses langsung dari jaringan publik. Gunakan kontrol akses yang ketat dan autentikasi multifaktor (MFA) untuk administrator.
- Audit Keamanan Windows: Pantau penggunaan bahasa pemrograman Rust dalam proses yang mencurigakan di peladen file. Gunakan solusi keamanan yang mampu mendeteksi upaya penghapusan shadow copies atau penghentian layanan SQL secara mendadak.
- Gunakan Proteksi Berlapis: Solusi keamanan dari ESET dapat membantu mendeteksi perilaku anomali dari ransomware Kyber, baik pada varian Windows maupun Linux. Dengan kemampuan analisis perilaku (behavioral analysis), upaya enkripsi berselang dapat diidentifikasi sebelum seluruh datastore lumpuh.
- Strategi Cadangan Off-site: Mengingat Kyber secara aktif mencari dan menghapus file cadangan di dalam jaringan, pastikan Anda memiliki salinan data di lokasi terpisah (off-site) atau di penyimpanan yang tidak dapat diubah (immutable storage).
Ancaman di Era Kriptografi Baru
Kehadiran Kyber menunjukkan bahwa peretas terus berevolusi dalam hal teknis maupun retorika serangan.
Penggunaan istilah “pasca-kuantum” mungkin merupakan taktik pemasaran bagi geng ransomware untuk menarik minat afiliasi berbakat atau menakut-nakuti korban agar merasa tidak ada cara untuk memulihkan data.
Di tahun 2026 ini, pertahanan siber yang tangguh bukan hanya soal mengikuti tren kriptografi terbaru, melainkan memastikan bahwa setiap jalur pemulihan data telah diamankan dari upaya sabotase yang direncanakan secara sistematis oleh para pelaku kejahatan ini.
Sumber berita:
