BERT Ransomware đe doạ ESXi Virtual Machine

Nam Anh Mai D.Nam Anh Mai D.
3 min read

BERT Ransomware, một loại mã độc tống tiền mới gần đây đã được ghi nhận là nguyên nhân chính cho các cuộc tấn công nhắm tới công nghệ ảo hoá như ESXi trong doanh nghiệp, gây thiệt hại nặng nề cho tổ chức, đồng thời ngăn chặn tối đa khả năng phục hồi của hệ thống.

Thông tin chi tiết

BERT Ransomware - hay còn được biết tới với cái ten "Water Pombero", là một nhóm tin tặc xuất hiện từ tháng 04/2025, nhắm mục tiêu chủ yếu vào hệ thống ảo hoá, cơ sở dữ liệu và máy chủ lưu trữ của các tổ chức thuộc lĩnh vực chăm sóc sức khoẻ, công nghệ, sự kiện,... trong khu vực Châu Á, Châu Âu, Châu Mỹ.

Trong báo cáo bảo mật mới nhất, mã độc tống tiền này đã cải tiến và trở nên nguy hiểm hơn do cơ chế mới tại phiên bản linux. Cụ thể, ransomware này vừa phát triển khả năng phát hiện, ép buộc các máy ảo linux trong ESXi ngừng hoạt động trước khi tiến hành mã hoá toàn bộ dữ liệu bên trong máy ảo bị tác động. Điều này đảm bảo rằng máy ảo bị nhắm tới không thể hoạt động trong suốt cuộc tấn công diễn ra, từ đó ngăn chặn mọi nỗ lực ứng phó sự cố từ quản trị viên.

Hình 1: Mã độc chạy lệnh thực thi buộc dừng hoạt động của các máy ảo trong hệ thống - Nguồn: CyberSecurityNews

Ngoài khả năng tấn công đa nền tảng trên các hệ thống Windows, Linux, ESXi, BERT ransomware còn có khả năng hỗ trợ lên đến tối đa 50 luồng mã hoá đồng thời, giúp nâng cao khả năng xử lý khi gặp các môi trường ảo hoá quy mô lớn.

Đối với hệ thống Windows, BERT sử dụng các script PowerShell làm loader với mục đích vô hiệu hoá các tính năng bảo mật mặc định như Windows Defender, tường lửa, UAC… trước khi tải xuống payload chính từ máy chủ C2.

Hình 2: Đoạn script PowerShell mã độc vô hiệu hoá các tính năng bảo mật mặc định trên Windows - Nguồn: CyberSecurityNews

Khắc phục & Khuyến nghị

  1. Giám sát PowerShell nâng cao: Giám sát các script chạy trên PowerShell nhằm phát hiện sớm các loader vô hiệu hóa công cụ bảo mật như tường lửa, Windows Defender, UAC.

  2. Phân đoạn mạng (Network Segmentation): Cách ly giao diện quản trị ESXi khỏi phần còn lại của hệ thống, từ đó giảm nguy cơ lan truyền khi một máy chủ bị xâm phạm.

  3. Tăng cường phòng thủ cho hạ tầng ảo hóa: Gia tăng các giải pháp bảo mật cho các nền tảng như VMware ESXi và các máy chủ ảo.

  4. Sao lưu dữ liệu: Sử dụng các biện pháp như sao lưu ngoại tuyến hoặc sao lưu không thể chỉnh sửa (immutable) để chống ransomware mã hoá hoặc xoá dữ liệu.

Tham khảo

  1. https://cybersecuritynews.com/bert-ransomware-esxi-virtual-machines/
0
Subscribe to my newsletter

Read articles from Nam Anh Mai D. directly inside your inbox. Subscribe to the newsletter, and don't miss out.

threat intelligenceransomware

Written by

Nam Anh Mai D.
Nam Anh Mai D.