Un nouveau groupe de ransomware baptisé BERT a fait surface avec une approche disruptive visant les infrastructures virtualisées, en particulier celles utilisant VMware ESXiContrairement aux ransomwares conventionnels, BERT arrête de force les machines virtuelles avant le chiffrement, paralysant les stratégies de reprise et amplifiant les perturbations des activités.
Cibler le cœur de l'infrastructure virtuelle
Repéré pour la première fois en avril 2025 et suivi sous le pseudonyme « Water Pombero », BERT a déjà impacté des organisations en Asie, en Europe et en Amérique du Nord. Sa variante Linux est particulièrement dangereuse : elle détecte les environnements ESXi et exécute des commandes pour forcer l'arrêt de toutes les machines virtuelles actives avant de lancer le chiffrement. Cela empêche toute sauvegarde rapide ou migration à chaud, rendant la récupération considérablement plus difficile.
Cryptage multiplateforme à haut débit
Capable d'exécuter jusqu'à 50 threads simultanément, BERT chiffre rapidement les environnements virtuels à grande échelle. S'il est lancé sans arguments, il arrête automatiquement les machines virtuelles à l'aide de commandes ESXi natives, démontrant ainsi une compréhension approfondie de l'infrastructure VMware.
Le malware cible également les systèmes Windows et Linux, utilisant souvent des scripts PowerShell pour désactiver les défenses comme Windows Defender et le Contrôle de compte d'utilisateur avant de récupérer les charges utiles des serveurs basés en Russie. Sa conception multiplateforme lui permet d'attaquer efficacement les environnements informatiques hybrides.
Impact sur tous les secteurs
BERT a principalement ciblé les secteurs de la santé, des technologies et de l'événementiel, et des preuves suggèrent la réutilisation du code du rançongiciel REvil, précédemment divulgué. Cette réutilisation témoigne d'un haut niveau de sophistication et d'une volonté délibérée d'accroître l'impact.
Environnements VMware à risque élevé
Les plans de reprise d'activité traditionnels, comme la restauration de machines virtuelles à partir de sauvegardes ou le déplacement de charges de travail, deviennent inefficaces lorsque les hyperviseurs sont compromis. Un seul hôte ESXi infecté peut entraîner le chiffrement de dizaines de machines virtuelles. BERT utilise des extensions de fichier spécifiques pour identifier ses victimes : .encryptedbybert sur Windows et .encrypted_by_bert sur Linux et ESXi.
Stratégies d'atténuation
- Surveillez l’utilisation anormale de PowerShell et l’exécution de scripts, en particulier ceux qui désactivent les couches de sécurité.
- Segmentez les réseaux de gestion ESXi pour restreindre les mouvements latéraux.
- Maintenez des sauvegardes hors ligne et immuables et testez régulièrement les procédures de récupération.
Recommandations pour RELIANOID Clients utilisant VMware
Les clients de RELIANOID Il est conseillé aux utilisateurs de VMware ESXi de :
1. Ne courez pas RELIANOID sur le même hôte ESXi que les charges de travail
Pourquoi : BERT arrête les machines virtuelles sur les hôtes ESXi compromis avant le chiffrement. Si RELIANOID s'exécute sur le même hôte, il sera arrêté avec vos services backend, ce qui rendra impossible la redirection, le basculement ou la fourniture d'un accès de maintenance.
Recommandation:
- Utilisez des règles anti-affinité pour conserver RELIANOID sur un hôte ou un cluster distinct des machines virtuelles principales (par exemple, bases de données, serveurs d'applications).
- Si possible, déployez RELIANOID en tant que cluster sur plusieurs hôtes ESXi pour garantir qu'au moins un survit à une attaque de ransomware au niveau de l'hyperviseur.
2. Sauvegarde RELIANOID Configuration hors de l'infrastructure ESXi
Pourquoi : If RELIANOID est chiffré ou supprimé, la perte de configuration compliquera la récupération, même si les services back-end sont restaurés.
Recommandation:
- Automatiser l'externe RELIANOID config exporte vers un stockage sécurisé hors site (en dehors du cluster ESXi).
- Stockez les sauvegardes sur un stockage immuable (par exemple, un stockage d'objets avec des politiques d'écriture unique et de lecture multiple).
3. Protégez le RELIANOID VM compromise via VMware Tools ou Shared Services
Pourquoi : Les ransomwares sophistiqués comme BERT peuvent abuser des outils invités ou d'une communication inter-VM faible.
Recommandation:
- Désactivez les fonctionnalités inutiles de VMware Tools dans le RELIANOID Machine virtuelle.
- Évitez d'utiliser des ISO/CD-ROM partagés ou des disques virtuels partagés entre RELIANOID et d'autres machines virtuelles.
- N'installez aucun logiciel supplémentaire à l'intérieur RELIANOID sauf si cela est absolument nécessaire, minimisez sa surface d’attaque.
4. Isoler le RELIANOID VM du plan de gestion ESXi
Pourquoi : BERT compromet ESXi via les interfaces d'administration. RELIANOID ne devrait jamais avoir accès à la gestion ESXi pour éviter de devenir un pont d'attaque.
Recommandation:
- Ne te connecte pas RELIANOID à tout groupe de ports ou VLAN utilisé pour la gestion ESXi ou VMotion.
- Utilisez des cartes réseau/VLAN virtuelles dédiées uniquement pour le trafic frontal (WAN/public) et principal (serveurs d'applications).
- Bloquer RELIANOID de la résolution ou de la communication avec les IP/sous-réseaux ESXi.
5. Surveillez les signes d'arrêt de la machine virtuelle ou de comportement suspect de l'intérieur RELIANOID
Pourquoi : Si BERT se prépare à chiffrer l'hôte ESXi, le RELIANOID La machine virtuelle peut subir des arrêts inattendus ou des tentatives de commande.
Recommandation:
- Activer le transfert syslog depuis RELIANOID vers la journalisation externe/SIEM.
- Surveiller pour :
- Événements d'arrêt soudain
- Pics élevés de CPU/disque/réseau non liés à l'activité normale de l'équilibreur de charge
- Tentatives de connexion ou de SSH inhabituelles
6. Avoir une veille préconfigurée RELIANOID Appareil en dehors d'ESXi
Pourquoi : Si l'environnement ESXi est entièrement compromis, RELIANOID doit être rapidement redéployable ailleurs (par exemple, cloud, bare metal, hyperviseur différent).
Recommandation:
- Maintenir un préinstallé, préconfiguré RELIANOID image (OVA, ISO ou LXC) dans un autre emplacement (par exemple, stockage d'objets cloud, centre de données hors site).
- Assurez-vous que les enregistrements DNS, NAT et les certificats SSL peuvent être rapidement redirigés vers le nouveau RELIANOID nœud.
Alors que les attaques deviennent de plus en plus ciblées et avancées, le besoin d’une sécurité proactive des infrastructures est plus crucial que jamais. RELIANOID est là pour vous aider à garder une longueur d'avance.
Articles de blog associés
