BERT-Ransomware zielt auf VMware ESXi ab, um Störungen zu maximieren

  • Blog
  • BERT-Ransomware zielt auf VMware ESXi ab, um Störungen zu maximieren
14. Juli 2025 | Miscelanea

Eine neue Ransomware-Gruppe namens BERT ist mit einem disruptiven Ansatz aufgetaucht, der auf virtualisierte Infrastrukturen abzielt, insbesondere auf solche, die VMware ESXiIm Gegensatz zu herkömmlicher Ransomware BERT fährt virtuelle Maschinen vor der Verschlüsselung zwangsweise herunter, wodurch Wiederherstellungsstrategien lahmgelegt und Betriebsunterbrechungen verstärkt werden.

Auf den Kern der virtuellen Infrastruktur abzielen

BERT wurde erstmals im April 2025 entdeckt und unter dem Decknamen „Water Pombero“ verfolgt. Es hat bereits Unternehmen in Asien, Europa und Nordamerika betroffen. Seine Linux-Variante ist besonders gefährlich: Sie erkennt ESXi-Umgebungen und führt Befehle aus, um alle aktiven virtuellen Maschinen zwangsweise zu beenden, bevor der Verschlüsselungsprozess beginnt. Dadurch wird die Möglichkeit einer schnellen Sicherung oder Live-Migration ausgeschlossen, was die Wiederherstellung erheblich erschwert.

Hochgeschwindigkeits-Verschlüsselung für mehrere Plattformen

BERT kann bis zu 50 Threads gleichzeitig ausführen und verschlüsselt schnell große virtuelle Umgebungen. Wird es ohne Argumente gestartet, beginnt es automatisch mit der Beendigung von VMs mithilfe nativer ESXi-Befehle – ein Beleg für ein tiefes Verständnis der VMware-Infrastruktur.

Die Malware zielt auch auf Windows- und Linux-Systeme ab und nutzt häufig PowerShell-Skripte, um Abwehrmechanismen wie Windows Defender und die Benutzerkontensteuerung zu deaktivieren, bevor sie Nutzdaten von russischen Servern abruft. Dank ihres plattformübergreifenden Designs kann sie auch hybride IT-Umgebungen effizient angreifen.

Branchenübergreifende Auswirkungen

BERT zielte vor allem auf die Gesundheits-, Technologie- und Veranstaltungsbranche ab. Es gibt Hinweise auf die Wiederverwendung von Code der zuvor geleakten REvil-Ransomware. Diese Umnutzung deutet auf ein hohes Maß an Raffinesse und den gezielten Versuch hin, die Wirkung zu verstärken.

VMware-Umgebungen mit erhöhtem Risiko

Herkömmliche Notfallwiederherstellungspläne – wie die Wiederherstellung virtueller Maschinen aus Backups oder das Verschieben von Workloads – sind bei kompromittierten Hypervisoren wirkungslos. Ein einziger infizierter ESXi-Host kann zur Verschlüsselung von Dutzenden von VMs führen. BERT verwendet spezifische Dateierweiterungen, um seine Opfer zu kennzeichnen: .encryptedbybert unter Windows und .encrypted_by_bert unter Linux und ESXi.

Minderungsstrategien

  • Achten Sie auf anormale PowerShell-Nutzung und Skriptausführung, insbesondere auf solche, die Sicherheitsebenen deaktivieren.
  • Segmentieren Sie ESXi-Verwaltungsnetzwerke, um seitliche Bewegungen einzuschränken.
  • Führen Sie Offline- und unveränderliche Backups durch und testen Sie die Wiederherstellungsverfahren regelmäßig.

Empfehlungen für RELIANOID Clients, die VMware verwenden

Die Kunden von RELIANOID Wenn Sie VMware ESXi verwenden, wird Folgendes empfohlen:

1. Nicht rennen RELIANOID auf demselben ESXi-Host wie die Workloads

Warum: BERT fährt VMs auf kompromittierten ESXi-Hosts vor der Verschlüsselung herunter. Wenn RELIANOID Wenn es auf demselben Host ausgeführt wird, wird es zusammen mit Ihren Backend-Diensten gestoppt. Dadurch ist eine Umleitung, ein Failover oder die Bereitstellung eines Wartungszugriffs nicht mehr möglich.

Empfehlung:

  • Verwenden Sie Anti-Affinitätsregeln, um RELIANOID auf einem separaten Host oder Cluster von den Back-End-VMs (z. B. Datenbanken, Anwendungsserver).
  • Wenn möglich, setzen Sie RELIANOID als Cluster über mehrere ESXi-Hosts, um sicherzustellen, dass mindestens einer einen Ransomware-Angriff auf Hypervisor-Ebene überlebt.

2. Sichern RELIANOID Konfiguration außerhalb der ESXi-Infrastruktur

Warum: If RELIANOID verschlüsselt oder gelöscht wird, erschwert der Konfigurationsverlust die Wiederherstellung – selbst wenn die Backend-Dienste wiederhergestellt werden.

Empfehlung:

  • Automatisieren Sie externe RELIANOID Konfigurationsexporte in sicheren, externen Speicher (außerhalb des ESXi-Clusters).
  • Speichern Sie Backups auf unveränderlichem Speicher (z. B. Objektspeicher mit „Einmal schreiben, mehrmals lesen“-Richtlinien).

3. Schützen Sie die RELIANOID VM vor Kompromittierung über VMware Tools oder Shared Services

Warum: Ausgefeilte Ransomware wie BERT kann Gasttools oder eine schwache Kommunikation zwischen VMs missbrauchen.

Empfehlung:

  • Deaktivieren Sie nicht benötigte VMware Tools-Funktionen innerhalb des RELIANOID VM.
  • Vermeiden Sie die Verwendung gemeinsam genutzter ISO/CD-ROMs oder gemeinsam genutzter virtueller Festplatten zwischen RELIANOID und andere VMs.
  • Installieren Sie keine zusätzliche Software im Inneren RELIANOID es sei denn, es ist unbedingt erforderlich – minimieren Sie die Angriffsfläche.

4. Isolieren Sie die RELIANOID VM aus der ESXi-Verwaltungsebene

Warum: BERT gefährdet ESXi über Administratorschnittstellen. RELIANOID sollte niemals Zugriff auf die ESXi-Verwaltung haben, um zu verhindern, dass er zu einer Angriffsbrücke wird.

Empfehlung:

  • Nicht verbinden RELIANOID zu jeder Portgruppe oder jedem VLAN, das für die ESXi-Verwaltung oder VMotion verwendet wird.
  • Verwenden Sie dedizierte virtuelle NICs/VLANs nur für Frontend- (WAN/öffentlich) und Backend-Datenverkehr (App-Server).
  • Blockieren RELIANOID daran hindern, ESXi-IPs/Subnetze aufzulösen oder mit ihnen zu kommunizieren.

5. Achten Sie auf Anzeichen einer VM-Beendigung oder verdächtiges Verhalten von innen RELIANOID

Warum: Wenn BERT die Verschlüsselung des ESXi-Hosts vorbereitet, RELIANOID Bei der VM kann es zu unerwarteten Abschaltungen oder Befehlsversuchen kommen.

Empfehlung:

  • Aktivieren Sie die Syslog-Weiterleitung von RELIANOID zur externen Protokollierung/SIEM.
  • Überwachen Sie Folgendes:
    • Plötzliche Abschaltungen
    • Hohe CPU-/Festplatten-/Netzwerkspitzen, die nicht mit normaler LB-Aktivität zusammenhängen
    • Ungewöhnliche SSH- oder Anmeldeversuche

6. Haben Sie einen vorkonfigurierten Standby RELIANOID Appliance außerhalb von ESXi

Warum: Wenn die ESXi-Umgebung vollständig kompromittiert ist, RELIANOID muss schnell an anderer Stelle neu bereitgestellt werden können (z. B. Cloud, Bare Metal, anderer Hypervisor).

Empfehlung:

  • Pflegen Sie eine vorinstallierte, vorkonfigurierte RELIANOID Image (OVA, ISO oder LXC) an einem anderen Ort (z. B. Cloud-Objektspeicher, externes Rechenzentrum).
  • Stellen Sie sicher, dass DNS-Einträge, NAT- und SSL-Zertifikate schnell auf das neue RELIANOID Knoten.

Da die Angriffe immer gezielter und ausgefeilter werden, ist eine proaktive Infrastruktursicherheit wichtiger denn je. RELIANOID ist hier, um Ihnen zu helfen, die Nase vorn zu behalten.

Verwandte Blogs

Veröffentlicht von reluser | 18. Februar 2026
Warum sich Finanzdienstleistungsinstitute vor Ausfallzeiten schützen müssen
Ausfallzeiten im Finanzdienstleistungssektor sind mehr als nur eine Unannehmlichkeit. Sie stellen ein kostspieliges, reputationsschädigendes Ereignis dar, das das Vertrauen der Kunden und die Stabilität der Institutionen gefährdet. Jüngste Studien schätzen die Kosten von Ausfallzeiten auf …
202 LikesKommentare deaktiviert Warum sich Finanzdienstleistungsinstitute vor Ausfallzeiten schützen müssen
Veröffentlicht von reluser | 03. Februar 2026
Wie RELIANOID Ergreift extreme Maßnahmen zur Steuerung von Drittparteienrisiken
At RELIANOIDWir verstehen, dass digitale Lieferketten in der heutigen vernetzten Welt nur so sicher sind wie ihr schwächstes Glied. Von Lohnabrechnungssystemen und Dateiaustauschplattformen bis hin zu HR-Tools und…
300 LikesKommentare deaktiviert auf Wie RELIANOID Ergreift extreme Maßnahmen zur Steuerung von Drittparteienrisiken
Veröffentlicht von reluser | 29. Januar 2026
Neue Cyberbedrohungen, die das heutige Finanzökosystem beeinflussen
Das globale Finanzökosystem steht weiterhin unter ständigem Druck von Cyberkriminellen, die aktiv nach Schwachstellen in der hochvernetzten Infrastruktur des Sektors suchen. Da Finanzinstitute auf umfangreiche Netzwerke von Drittanbietern angewiesen sind…
310 LikesKommentare deaktiviert über neu auftretende Cyberbedrohungen, die das heutige Finanzökosystem beeinträchtigen