Uma nova família de ransomware, chamada Kyber, foi identificada por pesquisadores de segurança por usar, ao menos em parte, criptografia pós-quântica em ataques contra sistemas Windows. O caso foi divulgado em 24 de abril de 2026 e chama atenção por ser apontado como o primeiro uso confirmado desse tipo de tecnologia em um ransomware. Segundo o relato, o recurso tem, por enquanto, impacto prático limitado, mas amplia a pressão psicológica sobre as vítimas ao reforçar a imagem de sofisticação do ataque. De acordo com informações do Convergência Digital, a ameaça surgiu ao menos em setembro do ano passado.
O nome Kyber faz referência ao algoritmo ML-KEM, um mecanismo de encapsulamento de chaves baseado em estruturas matemáticas conhecidas como redes. Esse padrão vem sendo desenvolvido com apoio do National Institute of Standards and Technology, dentro dos esforços para criar sistemas criptográficos capazes de resistir a futuros ataques de computadores quânticos. Diferentemente de métodos tradicionais, como RSA e criptografia de curvas elípticas, o ML-KEM foi projetado para não ser vulnerável a algoritmos quânticos como o de Shor.
O que a análise técnica encontrou no ransomware Kyber?
Análise recente da empresa de segurança Rapid7 apontou que a variante do Kyber voltada para Windows usa de fato o ML-KEM1024, a versão mais robusta desse padrão de criptografia pós-quântica. Nesse modelo, o algoritmo é empregado para proteger a troca de chaves entre os operadores do ataque e o processo de criptografia.
Os dados das vítimas, porém, são efetivamente criptografados com o padrão simétrico AES-256, amplamente utilizado e também considerado resistente a ataques quânticos. Assim, o uso da tecnologia pós-quântica aparece vinculado à etapa de proteção das chaves, e não como substituição integral dos métodos já usados em campanhas de ransomware.
Por que esse uso é visto como mais simbólico do que técnico?
Especialistas ouvidos no relato afirmam que este é o primeiro caso confirmado de uso de criptografia pós-quântica em ransomware. Segundo Brett Callow, analista da Emsisoft, a adoção desse tipo de tecnologia representa uma nova etapa na evolução dessas ameaças, ainda que o efeito prático, neste momento, seja limitado.
Isso ocorre porque computadores quânticos capazes de quebrar os sistemas criptográficos atuais ainda estariam a anos de distância. Além disso, o próprio modelo de operação do ransomware costuma trabalhar com prazos curtos para pagamento, o que reduz a necessidade prática de empregar métodos tão avançados. Na avaliação citada pela reportagem original, o uso do ML-KEM tem hoje mais valor simbólico do que técnico, funcionando como um elemento de intimidação.
- O malware foi batizado de Kyber.
- A variante para Windows usa ML-KEM1024 na troca de chaves.
- Os arquivos das vítimas são criptografados com AES-256.
- O impacto prático imediato é considerado limitado.
Houve inconsistências nas alegações dos operadores do malware?
Sim. A análise também identificou inconsistências no discurso dos operadores do Kyber sobre o uso de criptografia pós-quântica. Uma variante direcionada a ambientes VMware, por exemplo, afirma usar o mesmo padrão, mas na prática emprega criptografia RSA com chaves de 4096 bits.
Esse método é uma tecnologia tradicional, ainda que ofereça elevado nível de segurança contra ataques convencionais. A diferença entre o discurso dos operadores e a implementação efetiva reforça a avaliação de que a referência à criptografia pós-quântica também funciona como estratégia de marketing criminoso para pressionar vítimas e sugerir um nível superior de sofisticação técnica.
O caso, portanto, é relevante menos por indicar uma mudança imediata no impacto operacional do ransomware e mais por mostrar como conceitos ligados à computação quântica já começam a aparecer no discurso e nas ferramentas do cibercrime. Para pesquisadores e equipes de defesa, a identificação do Kyber amplia o monitoramento sobre como padrões criptográficos emergentes podem ser incorporados, de forma real ou alegada, a ameaças digitais.
