La nueva táctica del grupo BERT consiste en apagar las máquinas virtuales antes de cifrarlas, una estrategia que desactiva procesos de recuperación en caliente y amplifica el impacto económico. La comunidad técnica y los CISOs reaccionan ante una amenaza que apunta al núcleo operativo de la infraestructura moderna.
El ecosistema de amenazas evoluciona, y con él, las tácticas de los grupos de ransomware más avanzados. El grupo BERT Ransomware, también identificado como «Water Pombero», ha introducido una técnica particularmente eficaz y disruptiva: forzar el apagado de las máquinas virtuales en servidores ESXi antes de iniciar el cifrado de sus discos.
Este enfoque quirúrgico no solo impide la continuidad operativa inmediata, sino que también neutraliza los mecanismos de recuperación más utilizados en infraestructuras virtualizadas, como la restauración de snapshots o la migración en caliente.
Apagar antes de cifrar: un punto de inflexión técnico
Según un análisis técnico de Trend Micro, la variante Linux del ransomware BERT ha sido desarrollada específicamente para identificar hipervisores VMware ESXi y enviar comandos directos que detienen sus máquinas virtuales, interrumpiendo bruscamente las operaciones empresariales antes de aplicar su carga cifrante.
Esta técnica representa un salto cualitativo respecto a ransomware anteriores, que tradicionalmente actuaban tras las líneas del sistema operativo huésped. Aquí, el atacante apunta directamente a la orquestación del entorno virtualizado, elevando la amenaza desde la capa de aplicación hasta el propio núcleo de la infraestructura.
David Carrero: “El aislamiento del plano de gestión ya no es una opción, es un requisito”
En conversación con Revista Cloud, David Carrero, cofundador de Stackscale (Grupo Aire), proveedor europeo de infraestructura cloud privada y soluciones de alta disponibilidad, advierte sobre la importancia crítica de restringir el acceso al plano de gestión de hipervisores como ESXi o Proxmox:
“En Stackscale siempre hemos sido muy estrictos con la exposición de los entornos de virtualización. Nuestro principio es simple: el plano de control no debe ser accesible directamente desde Internet. Recomendamos desplegarlo siempre detrás de una VPN o red privada definida. Este aislamiento no solo reduce la superficie de ataque, sino que proporciona un margen de tiempo vital para desplegar actualizaciones o mitigar vulnerabilidades antes de que sean explotadas.”
Carrero insiste en que, en entornos donde la virtualización sostiene decenas o incluso cientos de máquinas de producción, cada segundo de exposición importa:
“La arquitectura de seguridad debe asumir que el perímetro no es fiable. Aislar ESXi, Proxmox o cualquier hipervisor es una medida mínima, no una recomendación. BERT ha demostrado que ya no basta con cifrar: ahora se busca desactivar la resiliencia operacional antes del ataque.”
Consecuencias económicas: del cifrado a la parálisis total
Los efectos de este nuevo vector de ataque se traducen directamente en pérdidas financieras severas. Un solo hipervisor comprometido puede afectar simultáneamente a decenas de máquinas virtuales, aplicaciones críticas y servicios de backend. Según datos del Ponemon Institute, el coste medio de una interrupción total en entornos virtualizados puede superar el medio millón de euros por hora en empresas medianas.
CISOs consultados reconocen que esta táctica compromete los planes de continuidad de negocio tradicionales, especialmente aquellos que dependen de la alta disponibilidad a nivel de software, pero no contemplan un apagado forzado del hipervisor.
Detalles técnicos clave de BERT
El ransomware BERT está diseñado con una arquitectura modular y multihilo, incluyendo:
- Hasta 50 threads de cifrado concurrente en entornos Linux/ESXi
- Reconocimiento de procesos ESXi y apagado de VMs mediante comandos shell
- Payloads PowerShell en Windows, con funciones para desactivar AVs, firewalls y UAC
- Descarga remota desde servidores controlados por actores rusos, con evidencia forense en comentarios y rutas de scripts
Además, investigadores como The Raven File han encontrado coincidencias del 80% con el código fuente filtrado de variantes REvil/Sodinokibi, lo que sugiere un reciclaje técnico que refuerza su eficacia.
Recomendaciones técnicas y arquitectónicas
A nivel de infraestructura
- Aislamiento completo del plano de gestión de hipervisores: usar VPN y segmentación L3
- Backups inmutables fuera de línea y verificación periódica de integridad
- Segmentación de red reforzada: evitar que un host comprometido tenga visibilidad completa del entorno
- Hardening de hipervisores y BIOS/UEFI: actualización de firmwares y control de arranque seguro
A nivel operativo
- Implementar monitorización avanzada de actividad anómala en el plano de gestión
- Auditorías frecuentes del acceso a interfaces como vCenter, iLO/iDRAC, SSH
- Integración de alertas SIEM específicas para eventos inusuales en ESXi
- Configuración de host lockdown mode en entornos VMware
Conclusión: la resiliencia ya no se mide solo en backups
BERT Ransomware es un aviso contundente para todas las organizaciones que se apoyan en la virtualización como columna vertebral. El riesgo ya no es únicamente la pérdida de datos, sino la inviabilidad temporal del negocio. Como lo resume David Carrero:
“Virtualizar es escalar, automatizar, optimizar… pero también es asumir nuevos vectores de riesgo. BERT ha demostrado que sin una segmentación estricta y una arquitectura segura, hasta las mejores copias de seguridad pueden ser inútiles si el hipervisor se apaga antes de que puedas reaccionar.”
El futuro de la ciberseguridad pasa por anticiparse. Y para muchos, este ataque es la señal más clara de que las arquitecturas deben repensarse ya, antes de que la próxima variante ataque no solo los datos, sino el corazón de la infraestructura.
vía: Noticias seguridad
