La empresa de ciberseguridad Rapid7 ha revelado un descomposición que confirma mediante ingeniería inversa que una tribu de ransomware emplazamiento Kyber utiliza ML-KEM 1024, un típico de oculto poscuántico admitido por el Instituto Franquista de Estándares y Tecnología (NIST).
El propósito del abrigo es Proteger la secreto que emblema los archivos de la víctimaafirmaron los investigadores en un noticia publicado en el sitio especializado Ars Technica el 21 de abril de este año.
En el noticia se cita a Brett Callow, analista de amenazas de Emsisoft. Este es el primer caso confirmado de ransomware que utiliza criptografía poscuántica.
La tribu Kyber existe desde al menos septiembre pasado y toma su nombre del propio típico ML-KEM, además conocido como Kyber en la letras de criptografía.
Esta coincidencia no es una coincidencia. El clan detrás del ransomware eligió el nombre para resaltar su uso de esquemas poscuánticos, mientras que Rapid7 ha confirmado que el ransomware se implementa en al menos una reforma de su malware que ataca los sistemas Windows.
El ransomware, por otro costado, es un tipo de software zorro que emblema los archivos de la víctima y exige un cuota, generalmente en criptoactivos, a cambio de devolverle el camino.
¿Cómo funciona un esquema poscuántico en Kyber?
Los descomposición muestran que el malware no emblema archivos directamente utilizando estándares poscuánticos, ya que este paso llevaría demasiado tiempo. En cambio, genera una secreto aleatoria basada en el esquema AES-256 (un oculto simétrico que ya es resistente a ataques cuánticos) y utiliza esa secreto para acelerar el archivo.
luego, Proteja las claves AES usando ML-KEM 1024. De esa forma, sólo el atacante podrá recuperar la secreto diferente y descifrar los datos. Según Anna Širokova, investigadora de Rapid7 y autora del descomposición, implementar ML-KEM requirió muy poco trabajo. Hay bibliotecas de código franco disponibles y perfectamente documentadas, y puede integrar el esquema agregando dependencias a su tesina.
Sin incautación, la investigación de Rapid7 encontró que no todas las variantes de ransomware están a la pico de sus afirmaciones.
La interpretación de Kyber que ataca a los sistemas VMware (una plataforma de virtualización muy utilizada en entornos corporativos) afirma utilizar ML-KEM, pero la ingeniería inversa reveló que en efectividad emblema claves con RSA de 4.096 bits. Una computadora cuántica tardará incluso más tiempo en poner en peligro un esquema clásico que el propio ML-KEM.
¿Por qué los atacantes utilizarían seguridad poscuántica con Kyber?
El hábitat más provocativo del descomposición es El uso de criptografía poscuántica no ofrece ningún beneficio técnico positivo a los atacantes.
Los investigadores de Ars Technica señalan que pasarán al menos tres abriles, y probablemente más, antaño de que tengamos una computadora cuántica capaz de ejecutar el operación de Scholl, un procedimiento matemático que nos permite romper los esquemas RSA y de curva elíptica. La nota de rescate de Kyber, por otro costado, da a las víctimas sólo una semana para retribuir. En esa recorrido de tiempo, los beneficios poscuánticos pierden sentido.
Según Shirokova, la respuesta a por qué Kyber usa oculto es: “Marketing orientado a las víctimas”. “El ‘oculto post-cuántico’ suena mucho más aterrador que ‘estamos usando AES’, especialmente para los tomadores de decisiones no técnicos que consideran si retribuir o no”, dijeron los investigadores en un correo electrónico citado por Ars Technica.
“Es un truco psicológico. No les preocupa que alguno rompa el oculto adentro de 10 abriles. Quieren el cuota en 72 horas”, añadió. Los objetivos no son los equipos técnicos de las empresas víctimas, sino los ejecutivos y abogados que deciden si sucumben a los rescates y vinculan el término post-cuántico a una fortaleza criptográfica insuperable.
El incidente de Kyber es importante no tanto por su sofisticación técnica sino por lo que revela sobre el ecosistema de amenazas cibernéticas. La criptografía poscuántica es un tema que, hasta hace poco, se limitaba en gran medida a artículos académicos y equipos de investigación, pero ahora se reconoce lo suficiente como para servir como armas de ingeniería social.
(Traducción de etiquetas) Computación cuántica
