Recibe toda la actualidad del sector tech y cloud en tu email de la mano de RevistaCloud.com.

Suscripción boletín

🔒 Nuevo ransomware BERT ataca máquinas virtuales ESXi… y las apaga antes de cifrarlas

El grupo BERT Ransomware está aplicando una táctica directa: forzar el apagado de VMs en servidores ESXi antes de iniciar el cifrado. Esta disrupción quirúrgica de entornos críticos representa una amenaza real a la continuidad operativa.


Una nueva y sofisticada amenaza de ransomware está sacudiendo el panorama de la ciberseguridad global. El grupo conocido como BERT Ransomware (rastreado por Trend Micro como «Water Pombero») ha desarrollado una táctica particularmente disruptiva que lo distingue de las operaciones tradicionales de ransomware: la capacidad de forzar el apagado de máquinas virtuales ESXi antes de proceder con el cifrado.

Una amenaza emergente con impacto global

Observado por primera vez en abril de 2025, BERT se ha establecido rápidamente como una amenaza seria para entornos virtualizados en Asia, Europa y Estados Unidos. Según el análisis de Trend Micro, la característica más preocupante del malware radica en su variante Linux, que puede detectar y forzar el apagado de máquinas virtuales ESXi antes de proceder con el cifrado de archivos.

La estrategia de targeting del grupo se enfoca principalmente en los sectores de salud, tecnología y servicios de eventos, con víctimas confirmadas que abarcan múltiples continentes, según reporta Cybersecurity News.

Detalles técnicos que marcan la diferencia

Capacidades avanzadas en Linux/ESXi

La variante Linux de BERT está optimizada específicamente para entornos virtualizados y presenta características técnicas alarmantes:

  • Hasta 50 hilos concurrentes para el cifrado, permitiendo procesar grandes entornos virtualizados de manera eficiente
  • Identificación y terminación de procesos de máquinas virtuales antes del cifrado
  • Comando automático de apagado usando utilidades ESXi integradas cuando se ejecuta sin parámetros de línea de comandos
  • Cifrado con extensiones específicas: .encrypted_by_bert en sistemas Linux/ESXi y .encryptedbybert en Windows

Security Online confirma que cuando se ejecuta sin parámetros de línea de comandos, el malware procede automáticamente a apagar máquinas virtuales usando comandos ESXi integrados, demostrando un conocimiento sofisticado de la infraestructura VMware.

Variante Windows: PowerShell como vector

En sistemas Windows, BERT emplea cargadores basados en PowerShell que:

  • Escalan privilegios y deshabilitan características de seguridad
  • Desactivan Windows Defender, firewalls y Control de Cuentas de Usuario (UAC)
  • Descargan el payload principal desde infraestructura rusa
  • Terminan servicios asociados con servidores web y bases de datos antes de iniciar el cifrado

Conexiones técnicas preocupantes

Los investigadores de seguridad han identificado similitudes de código significativas entre BERT y variantes previas de ransomware, particularmente:

  • Variante Linux de REvil: Originalmente identificada en 2021 y conocida por targeting a servidores ESXi
  • Código fuente filtrado de Babuk: Utilizado en lockers ESXi atribuidos a Conti y REvil
  • Framework híbrido: Sugiere que el grupo ha reutilizado código de variantes Linux de REvil para mejorar efectividad

Como reporta The Raven File, el análisis de archivos Linux muestra una coincidencia del 80% en la base de código con el ransomware Sodinokibi (también conocido como REvil).

Infraestructura de comando y control

La investigación revela que la infraestructura de BERT está alojada en servidores controlados por firmas rusas. Específicamente:

  • Servidores de almacenamiento de archivos ejecutándose bajo Apache/2.4.52 (Ubuntu)
  • IP registrada en Suecia pero bajo control de Edinaya Set Limited, un proveedor popular en Rusia
  • Comentarios en idioma ruso dentro de los scripts PowerShell, indicando potencialmente el origen de los actores de amenaza

Víctimas confirmadas y sectores afectados

Las víctimas confirmadas incluyen organizaciones en:

  • Sector salud: Hospitales y centros médicos
  • Tecnología: Empresas de desarrollo y servicios IT
  • Organización de eventos: Empresas de gestión y logística de eventos

Infosecurity Magazine confirma que el grupo ha mejorado y optimizado sus variantes de ransomware en el corto tiempo que ha estado operando.

Por qué esta táctica es revolucionaria

Disrupción de procedimientos de recuperación

La capacidad de apagado forzado representa una escalada significativa en las tácticas de ransomware, ya que socava directamente los procedimientos de recuperación ante desastres en los que las organizaciones confían durante incidentes cibernéticos.

Los métodos tradicionales de recuperación a menudo involucran:

  • Activar rápidamente máquinas virtuales de respaldo
  • Migrar cargas de trabajo a hosts alternativos
  • Mantener operaciones críticas durante el incidente

BERT elimina estas opciones al terminar sistemáticamente todos los procesos de VM, según análisis de Dark Reading.

Impacto multiplicado en entornos virtualizados

Las organizaciones que utilizan hipervisores VMware ESXi enfrentan un riesgo particular: un solo hipervisor comprometido puede afectar docenas de máquinas virtuales simultáneamente. Esta característica convierte a BERT en una amenaza especialmente devastadora para infraestructuras críticas.

Recomendaciones de seguridad inmediatas

Medidas de protección específicas

Los expertos en ciberseguridad recomiendan implementar las siguientes medidas de protección:

  1. Aislar interfaces de gestión ESXi del acceso público a internet
  2. Monitorizar actividades PowerShell no autorizadas, especialmente cargadores como start.ps1
  3. Implementar backups inmutables y offline que no puedan ser alterados durante un ataque
  4. Revisar segmentación de red para limitar el movimiento lateral
  5. Fortalecer protección de endpoints y restringir derechos administrativos

Mejores prácticas de seguridad

Como indica Trend Micro, las organizaciones deben:

  • Ejercer precaución con prácticas de email y web
  • Evitar descargar adjuntos o hacer clic en enlaces de fuentes no verificadas
  • Implementar filtrado web para restringir acceso a sitios web maliciosos conocidos
  • Mantener sistemas actualizados con los últimos parches de seguridad

El panorama futuro de las amenazas

Tendencia hacia la especialización

BERT representa una tendencia creciente hacia la especialización en ataques de ransomware dirigidos a infraestructura virtualizada. Como señala Undercode News, «estos no son hackers aficionados. Son desarrolladores con un conocimiento agudo de la arquitectura de sistemas y el timing de exploits.»

Evolución continua

El aspecto más alarmante de BERT es su evolución continua. El grupo ha demostrado capacidad para:

  • Mejorar y optimizar variantes en cortos períodos de tiempo
  • Adaptar código existente para nuevos vectores de ataque
  • Desarrollar capacidades multiplataforma simultáneas

Conclusión: Una nueva era de amenazas dirigidas

BERT Ransomware no es simplemente otro ransomware; representa una disrupción quirúrgica de entornos críticos diseñada específicamente para maximizar el daño operacional. Su capacidad para paralizar entornos virtuales antes del cifrado marca un punto de inflexión en la sofisticación de las amenazas cibernéticas.

La pregunta no es si su infraestructura podría resistir este tipo de ataque, sino cuándo será el próximo objetivo. En un mundo donde la virtualización es la columna vertebral de la infraestructura empresarial moderna, la preparación proactiva no es opcional: es una necesidad crítica para la supervivencia organizacional.


Referencias y fuentes

encuentra artículos

newsletter

Recibe toda la actualidad del sector tech y cloud en tu email de la mano de RevistaCloud.com.

Suscripción boletín

LO ÚLTIMO

×