Nova grupa za ransomware uvela je napredne taktike napada na virtuelizovana okruženja, primoravajući gašenje ESXi virtuelnih mašina prije šifrovanja kako bi ometala proces oporavka.
BERT, grupa za ransomware primijećena u aprilu 2025. godine, koju Trend Micro prati pod nazivom Water Pombero, brzo se profilirala kao značajna prijetnja za virtualizovana okruženja širom Azije, Evrope i Sjedinjenih Američkih Država.
Ključna karakteristika ovog ransomware-a, posebno njegovog Linux varijanta, jeste sposobnost prepoznavanja i prisilnog zaustavljanja ESXi virtuelnih mašina prije početka procesa šifrovanja datoteka. Ovakav pristup onemogućava administratorima brz migrations ili backup kritičnih sistema dok je napad u toku, što značajno komplikuje napore organizacija da povrate svoje podatke. Malware izvršava komande koje prekidaju sve aktivne VM procese na ESXi hostovima, uzrokujući maksimalni operativni poremećaj.
BERT-ova Linux verzija podržava do 50 paralelnih niti za brzo šifrovanje, omogućavajući efikasno obradu velikih virtualizovanih okruženja. Kada se pokrene bez parametara komandne linije, malware automatski prelazi na zaustavljanje virtuelnih mašina koristeći ugrađene ESXi komande, što ukazuje na duboko poznavanje VMware infrastrukture. Grupa je razvila varijante koje istovremeno ciljaju Windows, Linux i ESXi platforme, omogućavajući sveobuhvatne napade na hibridna IT okruženja. Na Windows sistemima, BERT koristi PowerShell pokretače koji onemogućavaju sigurnosne funkcije poput Windows Defendera, firewall-a i Kontrole korisničkih naloga (UAC) prije preuzimanja glavnog payload-a sa ruske infrastrukture.
Grupa se uglavnom fokusira na sektore zdravstva, tehnologije i event usluga, sa potvrđenim žrtvama na više kontinenata. Sigurnosni istraživači identifikovali su veze između BERT-ovog koda i prethodno procurelih varijanti REvil Linuxa, sugerišući da grupa može reciklirati postojeće ransomware okvire radi veće efikasnosti. Sposobnost prisilnog gašenja predstavlja značajnu eskalaciju u ransomware taktikama jer direktno podriva procedure za oporavak od katastrofa na koje se organizacije oslanjaju tokom cyber incidenata. Tradicionalne metode oporavka često uključuju brzo pokretanje rezervnih virtuelnih mašina ili migraciju radnih opterećenja na alternativne hostove, ali BERT-ov pristup eliminira te opcije sistematskim gašenjem svih VM procesa.
Organizacije koje koriste VMware ESXi hipervizore suočavaju se sa posebnim rizikom, jer jedan kompromitovani hipervizor može istovremeno pogoditi desetine virtuelnih mašina. Ransomware dodaje različite ekstenzije datotekama u zavisnosti od ciljne platforme: “.encryptedbybert” na Windows sistemima i “.encrypted_by_bert” na Linux i ESXi okruženjima.
Stručnjaci za informacionu sigurnost preporučuju pojačano praćenje zloupotrebe PowerShell-a i neovlašćenog izvršavanja skripti, sa posebnim naglaskom na pokretače koji onemogućavaju sigurnosne alate. Organizacije bi također trebale razmotriti segmentaciju mreže kako bi izolirale ESXi upravljačke interfejse i implementirale robusne strategije izrade rezervnih kopija koje uključuju offline i nemodifikovane kopije. Pojava BERT-a naglašava rastuću sofisticiranost ransomware operacija i njihov sve veći fokus na virtualizovanu infrastrukturu. Kako organizacije nastavljaju konsolidovati radna opterećenja na virtualizacionim platformama, potencijalni uticaj takvih ciljanih napada će samo rasti, čineći proaktivne odbrambene mjere kritičnijim nego ikada prije.
