El grupo BERT Ransomware ha comenzado a aplicar una nueva y disruptiva táctica, marcando un cambio significativo en el panorama de la ciberseguridad global. Mediante la forzada inhabilitación de máquinas virtuales (VMs) en servidores ESXi antes del cifrado, este ataque quirúrgico amenaza seriamente la continuidad operativa de las infraestructuras virtualizadas.
Rastreado por Trend Micro como «Water Pombero», BERT comenzó su actividad en abril de 2025 y ha tenido un impacto notable en Asia, Europa y Estados Unidos. Este ransomware, que exhibe capacidades avanzadas en su variante Linux, es particularmente devastador debido a su habilidad para apagar VMs ESXi, bloquear procesos y proceder al cifrado con extensiones específicas como .encrypted_by_bert.
El ataque, que se ha focalizado en sectores críticos como la salud, tecnología y servicios de eventos, se ejecuta con un sofisticado entendimiento de la infraestructura VMware. En su variante para Windows, utiliza cargadores basados en PowerShell para escalar privilegios y desactivar mecanismos de seguridad como Windows Defender antes de iniciar el cifrado.
Investigaciones han revelado similitudes alarmantes entre BERT y variantes previas de ransomware como REvil y Babuk. Además, su infraestructura de comando y control está alojada en servidores controlados por firmas rusas, lo que incluye servidores Apache/2.4.52 con IPs registradas en Suecia pero bajo control ruso.
Esta táctica de apagado forzado representa una escalada en las técnicas de ransomware, debilitando los procedimientos de recuperación ante desastres que muchas organizaciones emplean. La capacidad de un solo hipervisor comprometido para afectar múltiples VMs simultáneamente convierte a este tipo de ataque en una amenaza decisiva para infraestructuras críticas.
La comunidad de ciberseguridad recomienda medidas de protección específicas para enfrentar esta amenaza. Estas incluyen aislar interfaces de gestión ESXi del acceso a internet, monitorear actividades no autorizadas en PowerShell, establecer backups inmutables, revisar la segmentación de redes y fortalecer la protección de endpoints.
BERT no solo representa una sofisticación técnica avanzada, sino también la tendencia creciente hacia ataques especializados sobre infraestructuras virtualizadas. La evolución continua de sus capacidades y la reutilización de código para nuevos vectores de ataque demuestran que estos actores de amenaza poseen un conocimiento profundo de las arquitecturas de sistema.
En conclusión, enfrentarse a BERT Ransomware implica reconocer una nueva era de amenazas dirigidas con la capacidad de paralizar entornos virtuales antes de cifrar. Para las organizaciones modernas, estar preparadas ante estas amenazas no es opcional, sino crucial para asegurar su supervivencia en un entorno cada vez más dependiente de la virtualización.
Más información y referencias en Noticias Cloud.
