Nouveau ransomware BERT cible les machines virtuelles ESXi… et les éteint avant de les chiffrer

Nouveau ransomware BERT cible les machines virtuelles ESXi… et les éteint avant de les chiffrer

Un groupe de ransomwares nommé BERT, également connu sous le nom « Water Pombero » selon Trend Micro, déploie une nouvelle tactique particulièrement perturbatrice en forçant l’arrêt des machines virtuelles ESXi avant de procéder au chiffrement des données. Apparue pour la première fois en avril 2025, cette menace s’étend rapidement en Asie, en Europe et aux États-Unis, ciblant surtout les secteurs de la santé, de la technologie et des événements.

Ce ransomware, notamment dans sa version Linux, dispose de capacités avancées permettant non seulement d’identifier et de couper les processus de VM, mais aussi de déclencher automatiquement leur extinction via des commandes ESXi intégrées, témoignant d’une connaissance approfondie de l’infrastructure VMware. La variante Windows utilise PowerShell pour escalader ses privilèges, désactiver la sécurité du système, télécharger ses chargeurs malveillants depuis une infrastructure russe, puis lancer le chiffrement après avoir arrêté des services critiques.

Les analystes en sécurité soulignent que BERT partage de nombreuses similitudes avec des variantes antérieures, notamment celles de REvil et Babuk, avec un taux de correspondance pouvant atteindre 80 % avec le ransomware Sodinokibi. L’infrastructure de commandement et contrôle du groupe est hébergée sur des serveurs en Russie ou sous contrôle d’acteurs russes, avec des scripts en russe visibles dans leurs opérations.

Les victimes confirmées incluent des hôpitaux, des entreprises technologiques et des sociétés de gestion d’événements, ce qui souligne l’impact potentiel sur des infrastructures critiques. La capacité de couper brutalement l’alimentation des machines virtuelles constitue une escalade majeure, sapant les mécanismes habituels de récupération face aux incidents cybernétiques.

Les experts conseillent de renforcer la sécurité en isolant les interfaces de gestion ESXi, surveiller les activités PowerShell non autorisées, maintenir des sauvegardes immuables, segmenter les réseaux pour limiter la propagation, et renforcer la protection des points d’accès. La tendance à la spécialisation et à l’amélioration continue de BERT indique que cette menace représente une évolution inquiétante dans le paysage cybernétique, où la virtualisation devient un terrain de jeu de choix pour les cybercriminels très sophistiqués.

Face à cette menace, la préparation proactive et la vigilance permanente sont désormais indispensables pour protéger les infrastructures critiques contre cette nouvelle génération de ransomwares ciblés.

le dernier