Uma nova família de ransomware tem chamado a atenção de pesquisadores de segurança por explorar o conceito de criptografia resistente a computadores quânticos como estratégia de marketing para pressionar vítimas. Batizado de Kyber, o malware surgiu ao menos em setembro do ano passado e passou a alegar o uso de técnicas avançadas de criptografia pós-quântica.
O nome faz referência ao algoritmo ML-KEM, um mecanismo de encapsulamento de chaves baseado em estruturas matemáticas conhecidas como redes. Esse padrão vem sendo desenvolvido com apoio do National Institute of Standards and Technology como parte dos esforços para criar sistemas criptográficos capazes de resistir a ataques de computadores quânticos. Diferentemente de métodos tradicionais como RSA e criptografia de curvas elípticas, o ML-KEM é projetado para não ser vulnerável a algoritmos quânticos como o de Shor.
Análise recente da empresa de segurança Rapid7 identificou que a variante do Kyber voltada para sistemas Windows de fato utiliza o ML-KEM1024, versão mais robusta desse padrão de criptografia pós-quântica. Nesse modelo, o algoritmo é empregado para proteger a troca de chaves, enquanto os dados das vítimas são efetivamente criptografados com o padrão simétrico AES-256, amplamente utilizado e também considerado resistente a ataques quânticos.
Especialistas apontam que este é o primeiro caso confirmado de uso de criptografia pós-quântica em ransomware. Segundo Brett Callow, analista da Emsisoft, a adoção desse tipo de tecnologia marca uma nova etapa na evolução dessas ameaças, ainda que seu impacto prático seja limitado no momento.
Isso porque computadores quânticos capazes de quebrar os sistemas criptográficos atuais ainda estão a anos de distância. O próprio modelo de operação do ransomware, que estabelece prazos curtos para pagamento, torna desnecessária a adoção de métodos tão avançados. Na prática, especialistas avaliam que o uso do ML-KEM tem mais valor simbólico do que técnico, servindo para reforçar a imagem de sofisticação do ataque.
A análise também revelou inconsistências nas alegações dos operadores do Kyber. Uma variante direcionada a ambientes VMware, por exemplo, afirma utilizar o mesmo padrão pós-quântico, mas na realidade emprega criptografia RSA com chaves de 4096 bits, tecnologia tradicional que já oferece elevado nível de segurança contra ataques convencionais.
