El grupo BERT Ransomware está aplicando una táctica directa: forzar el apagado de VMs en servidores ESXi antes de iniciar el cifrado. Esta disrupción quirúrgica de entornos críticos representa una amenaza real a la continuidad operativa.
Una nueva y sofisticada amenaza de ransomware está sacudiendo el panorama de la ciberseguridad global. El grupo conocido como BERT Ransomware (rastreado por Trend Micro como «Water Pombero») ha desarrollado una táctica particularmente disruptiva que lo distingue de las operaciones tradicionales de ransomware: la capacidad de forzar el apagado de máquinas virtuales ESXi antes de proceder con el cifrado.
Una amenaza emergente con impacto global
Observado por primera vez en abril de 2025, BERT se ha establecido rápidamente como una amenaza seria para entornos virtualizados en Asia, Europa y Estados Unidos. Según el análisis de Trend Micro, la característica más preocupante del malware radica en su variante Linux, que puede detectar y forzar el apagado de máquinas virtuales ESXi antes de proceder con el cifrado de archivos.
La estrategia de targeting del grupo se enfoca principalmente en los sectores de salud, tecnología y servicios de eventos, con víctimas confirmadas que abarcan múltiples continentes, según reporta Cybersecurity News.
Detalles técnicos que marcan la diferencia
Capacidades avanzadas en Linux/ESXi
La variante Linux de BERT está optimizada específicamente para entornos virtualizados y presenta características técnicas alarmantes:
- Hasta 50 hilos concurrentes para el cifrado, permitiendo procesar grandes entornos virtualizados de manera eficiente
- Identificación y terminación de procesos de máquinas virtuales antes del cifrado
- Comando automático de apagado usando utilidades ESXi integradas cuando se ejecuta sin parámetros de línea de comandos
- Cifrado con extensiones específicas:
.encrypted_by_bert
en sistemas Linux/ESXi y.encryptedbybert
en Windows
Security Online confirma que cuando se ejecuta sin parámetros de línea de comandos, el malware procede automáticamente a apagar máquinas virtuales usando comandos ESXi integrados, demostrando un conocimiento sofisticado de la infraestructura VMware.
Variante Windows: PowerShell como vector
En sistemas Windows, BERT emplea cargadores basados en PowerShell que:
- Escalan privilegios y deshabilitan características de seguridad
- Desactivan Windows Defender, firewalls y Control de Cuentas de Usuario (UAC)
- Descargan el payload principal desde infraestructura rusa
- Terminan servicios asociados con servidores web y bases de datos antes de iniciar el cifrado
Conexiones técnicas preocupantes
Los investigadores de seguridad han identificado similitudes de código significativas entre BERT y variantes previas de ransomware, particularmente:
- Variante Linux de REvil: Originalmente identificada en 2021 y conocida por targeting a servidores ESXi
- Código fuente filtrado de Babuk: Utilizado en lockers ESXi atribuidos a Conti y REvil
- Framework híbrido: Sugiere que el grupo ha reutilizado código de variantes Linux de REvil para mejorar efectividad
Como reporta The Raven File, el análisis de archivos Linux muestra una coincidencia del 80% en la base de código con el ransomware Sodinokibi (también conocido como REvil).
Infraestructura de comando y control
La investigación revela que la infraestructura de BERT está alojada en servidores controlados por firmas rusas. Específicamente:
- Servidores de almacenamiento de archivos ejecutándose bajo Apache/2.4.52 (Ubuntu)
- IP registrada en Suecia pero bajo control de Edinaya Set Limited, un proveedor popular en Rusia
- Comentarios en idioma ruso dentro de los scripts PowerShell, indicando potencialmente el origen de los actores de amenaza
Víctimas confirmadas y sectores afectados
Las víctimas confirmadas incluyen organizaciones en:
- Sector salud: Hospitales y centros médicos
- Tecnología: Empresas de desarrollo y servicios IT
- Organización de eventos: Empresas de gestión y logística de eventos
Infosecurity Magazine confirma que el grupo ha mejorado y optimizado sus variantes de ransomware en el corto tiempo que ha estado operando.
Por qué esta táctica es revolucionaria
Disrupción de procedimientos de recuperación
La capacidad de apagado forzado representa una escalada significativa en las tácticas de ransomware, ya que socava directamente los procedimientos de recuperación ante desastres en los que las organizaciones confían durante incidentes cibernéticos.
Los métodos tradicionales de recuperación a menudo involucran:
- Activar rápidamente máquinas virtuales de respaldo
- Migrar cargas de trabajo a hosts alternativos
- Mantener operaciones críticas durante el incidente
BERT elimina estas opciones al terminar sistemáticamente todos los procesos de VM, según análisis de Dark Reading.
Impacto multiplicado en entornos virtualizados
Las organizaciones que utilizan hipervisores VMware ESXi enfrentan un riesgo particular: un solo hipervisor comprometido puede afectar docenas de máquinas virtuales simultáneamente. Esta característica convierte a BERT en una amenaza especialmente devastadora para infraestructuras críticas.
Recomendaciones de seguridad inmediatas
Medidas de protección específicas
Los expertos en ciberseguridad recomiendan implementar las siguientes medidas de protección:
- Aislar interfaces de gestión ESXi del acceso público a internet
- Monitorizar actividades PowerShell no autorizadas, especialmente cargadores como
start.ps1
- Implementar backups inmutables y offline que no puedan ser alterados durante un ataque
- Revisar segmentación de red para limitar el movimiento lateral
- Fortalecer protección de endpoints y restringir derechos administrativos
Mejores prácticas de seguridad
Como indica Trend Micro, las organizaciones deben:
- Ejercer precaución con prácticas de email y web
- Evitar descargar adjuntos o hacer clic en enlaces de fuentes no verificadas
- Implementar filtrado web para restringir acceso a sitios web maliciosos conocidos
- Mantener sistemas actualizados con los últimos parches de seguridad
El panorama futuro de las amenazas
Tendencia hacia la especialización
BERT representa una tendencia creciente hacia la especialización en ataques de ransomware dirigidos a infraestructura virtualizada. Como señala Undercode News, «estos no son hackers aficionados. Son desarrolladores con un conocimiento agudo de la arquitectura de sistemas y el timing de exploits.»
Evolución continua
El aspecto más alarmante de BERT es su evolución continua. El grupo ha demostrado capacidad para:
- Mejorar y optimizar variantes en cortos períodos de tiempo
- Adaptar código existente para nuevos vectores de ataque
- Desarrollar capacidades multiplataforma simultáneas
Conclusión: Una nueva era de amenazas dirigidas
BERT Ransomware no es simplemente otro ransomware; representa una disrupción quirúrgica de entornos críticos diseñada específicamente para maximizar el daño operacional. Su capacidad para paralizar entornos virtuales antes del cifrado marca un punto de inflexión en la sofisticación de las amenazas cibernéticas.
La pregunta no es si su infraestructura podría resistir este tipo de ataque, sino cuándo será el próximo objetivo. En un mundo donde la virtualización es la columna vertebral de la infraestructura empresarial moderna, la preparación proactiva no es opcional: es una necesidad crítica para la supervivencia organizacional.
Referencias y fuentes
- Trend Micro: BERT Ransomware Group Targets Asia and Europe
- Cybersecurity News: BERT Ransomware Forcibly Shut Down ESXi Virtual Machines
- Security Online: New BERT Ransomware Unleashed
- The Raven File: BERT Ransomware Analysis
- Dark Reading: Bert Blitzes Linux & Windows Systems
- Infosecurity Magazine: New Bert Ransomware Group Strikes Globally
- Undercode News: BERT Ransomware Surge