Το BERT Ransomware απενεργοποιεί εικονικές μηχανές ESXi
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Το BERT Ransomware απενεργοποιεί εικονικές μηχανές ESXi
https://www.secnews.gr/653247/bert-ransomware-apenergopoiei-eikonikes-mixanes-esxi/
Jul 8th 2025, 16:21
by Absenta Mia
Η ομάδα ransomware BERT χρησιμοποιεί προηγμένες τακτικές επίθεσης μέσω εικονικοποίησης για να μεγιστοποιήσει τη ζημιά και να εμποδίσει τις προσπάθειες ανάκαμψης των οργανισμών.
Δείτε επίσης: Αποκρυπτογράφηση αρχείων Linux/ESXi Akira Ransomware χωρίς πληρωμή λύτρων
Η νεοεμφανιζόμενη ομάδα ransomware BERT έχει εισάγει μια ιδιαίτερα καταστροφική δυνατότητα που τη διαφοροποιεί από τις παραδοσιακές επιθέσεις ransomware: την ικανότητα εξαναγκασμένου τερματισμού εικονικών μηχανών ESXi πριν την κρυπτογράφηση, γεγονός που περιπλέκει σημαντικά τις διαδικασίες ανάκτησης για τους στόχους.
Η ομάδα BERT, η οποία παρακολουθείται από την Trend Micro με την ονομασία Water Pombero, εντοπίστηκε για πρώτη φορά τον Απρίλιο του 2025 και έχει ήδη καταστεί σοβαρή απειλή για εικονικά περιβάλλοντα σε Ασία, Ευρώπη και Ηνωμένες Πολιτείες. Το πιο ανησυχητικό χαρακτηριστικό του ransomware βρίσκεται στη Linux εκδοχή του, η οποία μπορεί να εντοπίσει και να τερματίσει βίαια τις εικονικές μηχανές ESXi προτού ξεκινήσει την κρυπτογράφηση αρχείων.
Αυτή η τακτική προσέγγιση εξασφαλίζει ότι οι εικονικές μηχανές δεν μπορούν να συνεχίσουν να λειτουργούν κατά τη διάρκεια της επίθεσης, αποτρέποντας τους διαχειριστές από το να πραγματοποιήσουν άμεση μετεγκατάσταση ή αντίγραφα ασφαλείας κρίσιμων συστημάτων. Το κακόβουλο λογισμικό εκτελεί εντολές που αναγκάζουν τον τερματισμό όλων των ενεργών διεργασιών εικονικών μηχανών σε κεντρικούς ESXi, προκαλώντας μέγιστη λειτουργική αναστάτωση.
Δείτε ακόμα: Πάνω από 37.000 VMware ESXi servers ευάλωτοι σε επιθέσεις
Διάγραμμα της αρχιτεκτονικής του VMware vSphere, το οποίο απεικονίζει τους πελάτες (clients), τον vCenter Server, τις υπηρεσίες εφαρμογών και υποδομής, καθώς και την εικονικοποίηση φυσικών διακομιστών, δικτύου και αποθήκευσης δεδομένων σε επίπεδο επιχείρησης.
Η υλοποίηση του BERT για Linux υποστηρίζει έως και 50 ταυτόχρονα νήματα (threads) για ταχεία κρυπτογράφηση, επιτρέποντας στο ransomware να επεξεργάζεται αποδοτικά μεγάλες εικονικές υποδομές.
Όταν εκτελείται χωρίς παραμέτρους γραμμής εντολών, το κακόβουλο λογισμικό προχωρά αυτόματα στον τερματισμό των εικονικών μηχανών μέσω ενσωματωμένων εντολών του ESXi, αποκαλύπτοντας βαθιά τεχνογνωσία σχετικά με την υποδομή της VMware. Η ομάδα πίσω από το BERT έχει αναπτύξει παραλλαγές που στοχεύουν ταυτόχρονα σε Windows, Linux και ESXi, επιτρέποντας συντονισμένες επιθέσεις σε υβριδικά IT περιβάλλοντα.
Στα Windows συστήματα, το BERT χρησιμοποιεί φορτωτές βασισμένους στο PowerShell που απενεργοποιούν κρίσιμες λειτουργίες ασφαλείας, όπως το Windows Defender, τα τείχη προστασίας (firewalls) και τον Έλεγχο Λογαριασμού Χρήστη (User Account Control), πριν κατεβάσουν το κύριο κακόβουλο φορτίο από υποδομή που φιλοξενείται στη Ρωσία.
Δείτε επίσης: Το νέο Linux Ransomware της Akira επιτίθεται σε VMware ESXi servers
Η στρατηγική στόχευσης της ομάδας επικεντρώνεται κυρίως στους τομείς της υγειονομικής περίθαλψης, της τεχνολογίας και των υπηρεσιών εκδηλώσεων, με επιβεβαιωμένα θύματα να εκτείνονται σε πολλαπλές ηπείρους.
Πηγή: cybersecuritynews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Το BERT Ransomware απενεργοποιεί εικονικές μηχανές ESXi
https://www.secnews.gr/653247/bert-ransomware-apenergopoiei-eikonikes-mixanes-esxi/
Jul 8th 2025, 16:21
by Absenta Mia
Η ομάδα ransomware BERT χρησιμοποιεί προηγμένες τακτικές επίθεσης μέσω εικονικοποίησης για να μεγιστοποιήσει τη ζημιά και να εμποδίσει τις προσπάθειες ανάκαμψης των οργανισμών.
Δείτε επίσης: Αποκρυπτογράφηση αρχείων Linux/ESXi Akira Ransomware χωρίς πληρωμή λύτρων
Η νεοεμφανιζόμενη ομάδα ransomware BERT έχει εισάγει μια ιδιαίτερα καταστροφική δυνατότητα που τη διαφοροποιεί από τις παραδοσιακές επιθέσεις ransomware: την ικανότητα εξαναγκασμένου τερματισμού εικονικών μηχανών ESXi πριν την κρυπτογράφηση, γεγονός που περιπλέκει σημαντικά τις διαδικασίες ανάκτησης για τους στόχους.
Η ομάδα BERT, η οποία παρακολουθείται από την Trend Micro με την ονομασία Water Pombero, εντοπίστηκε για πρώτη φορά τον Απρίλιο του 2025 και έχει ήδη καταστεί σοβαρή απειλή για εικονικά περιβάλλοντα σε Ασία, Ευρώπη και Ηνωμένες Πολιτείες. Το πιο ανησυχητικό χαρακτηριστικό του ransomware βρίσκεται στη Linux εκδοχή του, η οποία μπορεί να εντοπίσει και να τερματίσει βίαια τις εικονικές μηχανές ESXi προτού ξεκινήσει την κρυπτογράφηση αρχείων.
Αυτή η τακτική προσέγγιση εξασφαλίζει ότι οι εικονικές μηχανές δεν μπορούν να συνεχίσουν να λειτουργούν κατά τη διάρκεια της επίθεσης, αποτρέποντας τους διαχειριστές από το να πραγματοποιήσουν άμεση μετεγκατάσταση ή αντίγραφα ασφαλείας κρίσιμων συστημάτων. Το κακόβουλο λογισμικό εκτελεί εντολές που αναγκάζουν τον τερματισμό όλων των ενεργών διεργασιών εικονικών μηχανών σε κεντρικούς ESXi, προκαλώντας μέγιστη λειτουργική αναστάτωση.
Δείτε ακόμα: Πάνω από 37.000 VMware ESXi servers ευάλωτοι σε επιθέσεις
Διάγραμμα της αρχιτεκτονικής του VMware vSphere, το οποίο απεικονίζει τους πελάτες (clients), τον vCenter Server, τις υπηρεσίες εφαρμογών και υποδομής, καθώς και την εικονικοποίηση φυσικών διακομιστών, δικτύου και αποθήκευσης δεδομένων σε επίπεδο επιχείρησης.
Η υλοποίηση του BERT για Linux υποστηρίζει έως και 50 ταυτόχρονα νήματα (threads) για ταχεία κρυπτογράφηση, επιτρέποντας στο ransomware να επεξεργάζεται αποδοτικά μεγάλες εικονικές υποδομές.
Όταν εκτελείται χωρίς παραμέτρους γραμμής εντολών, το κακόβουλο λογισμικό προχωρά αυτόματα στον τερματισμό των εικονικών μηχανών μέσω ενσωματωμένων εντολών του ESXi, αποκαλύπτοντας βαθιά τεχνογνωσία σχετικά με την υποδομή της VMware. Η ομάδα πίσω από το BERT έχει αναπτύξει παραλλαγές που στοχεύουν ταυτόχρονα σε Windows, Linux και ESXi, επιτρέποντας συντονισμένες επιθέσεις σε υβριδικά IT περιβάλλοντα.
Στα Windows συστήματα, το BERT χρησιμοποιεί φορτωτές βασισμένους στο PowerShell που απενεργοποιούν κρίσιμες λειτουργίες ασφαλείας, όπως το Windows Defender, τα τείχη προστασίας (firewalls) και τον Έλεγχο Λογαριασμού Χρήστη (User Account Control), πριν κατεβάσουν το κύριο κακόβουλο φορτίο από υποδομή που φιλοξενείται στη Ρωσία.
Δείτε επίσης: Το νέο Linux Ransomware της Akira επιτίθεται σε VMware ESXi servers
Η στρατηγική στόχευσης της ομάδας επικεντρώνεται κυρίως στους τομείς της υγειονομικής περίθαλψης, της τεχνολογίας και των υπηρεσιών εκδηλώσεων, με επιβεβαιωμένα θύματα να εκτείνονται σε πολλαπλές ηπείρους.
Πηγή: cybersecuritynews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz