新たなランサムウェアグループが ベルト 仮想化インフラストラクチャ、特に仮想化インフラストラクチャを対象とした破壊的なアプローチが登場しました。 VMwareのESXiの従来のランサムウェアとは異なり、 BERTは暗号化前に仮想マシンを強制的にシャットダウンします回復戦略を阻害し、ビジネスの混乱を拡大させます。
仮想インフラストラクチャの中核をターゲットに
2025年XNUMX月に初めて発見され、「Water Pombero」という別名で追跡されているBERTは、既にアジア、ヨーロッパ、北米の組織に影響を与えています。Linux版は特に危険で、ESXi環境を検知し、暗号化プロセスを開始する前にアクティブな仮想マシンをすべて強制終了するコマンドを実行します。これにより、迅速なバックアップやライブマイグレーションの可能性が排除され、復旧が著しく困難になります。
高速、マルチプラットフォーム暗号化
BERTは最大50スレッドの同時実行が可能で、大規模な仮想環境を高速に暗号化します。引数なしで起動すると、ネイティブESXiコマンドを使用してVMを自動的に終了し始めます。これは、VMwareインフラストラクチャへの深い理解を示しています。
このマルウェアはWindowsとLinuxシステムも標的とし、多くの場合PowerShellスクリプトを使用してWindows Defenderやユーザーアカウント制御などの防御機能を無効化してから、ロシアのサーバーからペイロードを取得します。クロスプラットフォーム設計により、ハイブリッドIT環境への効率的な攻撃が可能です。
業界全体への影響
BERTは主に医療、テクノロジー、イベント業界を標的としており、以前流出したREvilランサムウェアのコードを再利用している証拠が見られます。この再利用は、高度な技術と、影響度を高めるための意図的な取り組みを示しています。
リスクが高まっている VMware 環境
ハイパーバイザーが侵害されると、バックアップからの仮想マシンの復元やワークロードの移動といった従来の災害復旧計画は効果を発揮しなくなります。1台のESXiホストが感染すると、数十台の仮想マシンが暗号化される可能性があります。BERTは、特定のファイル拡張子を使用して被害者をマークします。 .encryptedbybert Windowsでは .encrypted_by_bert Linux および ESXi 上。
緩和戦略
- 異常な PowerShell の使用とスクリプトの実行、特にセキュリティ レイヤーを無効にするものを監視します。
- ESXi 管理ネットワークをセグメント化して、横方向の移動を制限します。
- オフラインで変更不可能なバックアップを維持し、リカバリ手順を定期的にテストします。
の推奨事項 RELIANOID VMware を使用しているクライアント
のクライアント RELIANOID VMware ESXi を使用している場合は、次のことをお勧めします。
1. 走らない RELIANOID ワークロードと同じESXiホスト上
理由: BERTは暗号化前に、侵害を受けたESXiホスト上のVMをシャットダウンします。 RELIANOID 同じホスト上で実行されている場合、バックエンド サービスとともに停止され、リダイレクト、フェイルオーバー、またはメンテナンス アクセスの提供ができなくなります。
推奨事項:
- アンチアフィニティルールを使用して RELIANOID バックエンド VM (データベース、アプリケーション サーバーなど) とは別のホストまたはクラスター上にあります。
- 可能であれば展開する RELIANOID 複数の ESXi ホストにまたがるクラスターとして使用し、少なくとも 1 つの ESXi ホストがハイパーバイザー レベルのランサムウェア攻撃に耐えられるようにします。
2. バックアップ RELIANOID ESXiインフラストラクチャからの構成
理由: If RELIANOID 暗号化または削除されると、バックエンド サービスが復元されたとしても、構成の損失により回復が複雑になります。
推奨事項:
- 外部を自動化 RELIANOID 構成を安全なオフサイト ストレージ (ESXi クラスターの外部) にエクスポートします。
- バックアップを不変のストレージ (例: write-once、read-many ポリシーを備えたオブジェクト ストレージ) に保存します。
3. 保護する RELIANOID VMware Tools または共有サービスによる VM の侵害を防ぐ
理由: BERT のような高度なランサムウェアは、ゲスト ツールや弱い VM 間通信を悪用する可能性があります。
推奨事項:
- 不要なVMware Tools機能を無効にします RELIANOID VM。
- 共有ISO/CD-ROMや共有仮想ディスクの使用は避けてください。 RELIANOID およびその他の VM。
- 内部に追加のソフトウェアをインストールしないでください RELIANOID 絶対に必要な場合を除き、攻撃対象領域を最小限に抑えます。
4. 分離する RELIANOID ESXi 管理プレーンからの VM
理由: BERT は管理インターフェースを通じて ESXi を侵害します。 RELIANOID 攻撃の橋渡しとなることを防ぐため、ESXi 管理にはアクセスできないようにする必要があります。
推奨事項:
- 接続しないでください RELIANOID ESXi 管理または VMotion に使用される任意のポート グループまたは VLAN に接続します。
- フロントエンド (WAN/パブリック) およびバックエンド (アプリケーション サーバー) トラフィックにのみ専用の仮想 NIC/VLAN を使用します。
- ブロック RELIANOID ESXi IP/サブネットの解決や通信を禁止します。
5. VMの終了や内部からの不審な動作の兆候を監視する RELIANOID
理由: BERTがESXiホストを暗号化する準備をしている場合、 RELIANOID VM で予期しないシャットダウンやコマンド試行が発生する可能性があります。
推奨事項:
- Syslog転送を有効にする RELIANOID 外部ログ/SIEM へ。
- 監視対象:
- 突然のシャットダウンイベント
- 通常の LB アクティビティとは関係のない、CPU/ディスク/ネットワークの急上昇
- 異常なSSHまたはログイン試行
6. スタンバイを事前に設定しておく RELIANOID ESXi 外のアプライアンス
理由: ESXi環境が完全に侵害された場合、 RELIANOID 他の場所(クラウド、ベアメタル、別のハイパーバイザーなど)にすぐに再展開できる必要があります。
推奨事項:
- 事前にインストールされ、事前に構成された RELIANOID イメージ (OVA、ISO、または LXC) を別の場所 (クラウド オブジェクト ストレージ、オフサイト データ センターなど) に保存します。
- DNSレコード、NAT、SSL証明書が新しいものに素早く再ポイントされるようにする RELIANOID ノード。
攻撃がより標的を絞って高度化するにつれて、予防的なインフラストラクチャ セキュリティの必要性がこれまで以上に重要になります。 RELIANOID 先を行くお手伝いをいたします.
関連ブログ
