Primero desaparecieron los archivos. Luego, el negocio. Después, el silencio. Esta es la nueva banda BERT

En la primavera de 2025, especialistas de Trend Micro detectaron la aparición de un nuevo grupo de ransomware llamado BERT (también rastreado como Water Pombero), que ya ha atacado a varias organizaciones en EE.UU., Europa y Asia. Las empresas más afectadas fueron las de los sectores de salud, tecnologías de la información y organización de eventos.

Los hackers de BERT atacan simultáneamente sistemas Windows y Linux. A pesar de la simplicidad de su código fuente, emplean técnicas efectivas: descargadores en PowerShell, escalada de privilegios y cifrado paralelo de archivos. Esto les permite llevar a cabo ataques rápidamente y evadir defensas sin soluciones complejas.

En servidores Linux, su malware es especialmente agresivo. El programa lanza hasta 50 hilos para acelerar el cifrado y puede forzar la detención de máquinas virtuales ESXi, lo que dificulta significativamente la recuperación tras un ataque. Al finalizar la operación, los archivos obtienen la extensión .encrypted_by_bert y al usuario se le muestra el número de objetos cifrados junto con un mensaje de exigencia.

En sistemas Windows, el malware también es sencillo: busca y detiene servicios críticos como servidores web, bases de datos y otros. El cifrado se realiza mediante el algoritmo estándar AES, tras lo cual aparece una nota con las demandas y los archivos cifrados reciben una extensión única.

Los especialistas encontraron un script en PowerShell (start.ps1) que actúa como descargador. Desactiva herramientas de seguridad del sistema —incluyendo Windows Defender y UAC— y luego descarga el malware principal desde la dirección IP 185[.]100[.]157[.]74, perteneciente a un sistema autónomo de Rusia (ASN 39134). Aunque este dato no prueba una conexión directa con grupos rusos, podría indicar un vínculo geográfico o infraestructural.

Llamó la atención la presencia de archivos en un servidor abierto bajo esa IP —allí estaban disponibles tanto start.ps1 como payload.exe. El directorio abierto y los comentarios en ruso en el código indican una baja sofisticación operativa, típica de grupos aún en desarrollo.

Según Trend Micro, los delincuentes continúan mejorando y actualizando su software. En una versión anterior, BERT recopilaba primero la lista de archivos disponibles antes de cifrarlos. La nueva variante es más dinámica: utiliza la estructura ConcurrentQueue para iniciar el cifrado tan pronto como encuentra un archivo, empleando varios “trabajadores” (DiskWorker), lo que acelera el proceso y dificulta su detección.

El análisis de la versión para Linux mostró similitudes con fragmentos de ransomware antiguos como REvil y Babuk. BERT utiliza configuraciones en formato JSON que incluyen clave pública, nota para la víctima, lista de extensiones y otros parámetros. Se sospecha que el código podría haber sido reutilizado de grupos disueltos.

El informe señala que muchos atacantes hoy no inventan nuevos métodos, sino que adaptan soluciones ya existentes para hacerlas más eficaces. Este es el caso de BERT —su táctica es simple pero efectiva. La amenaza no radica tanto en la sofisticación técnica como en su capacidad para evadir niveles básicos de protección.

Para protegerse de este tipo de ataques, los especialistas recomiendan:

• monitorizar cuidadosamente la ejecución de scripts de PowerShell, especialmente aquellos que desactivan defensas;
• crear copias de seguridad con regularidad y almacenarlas en un entorno aislado;
• limitar los privilegios de los usuarios, especialmente los administrativos;
• utilizar protección en múltiples capas, incluyendo análisis de comportamiento, cortafuegos y control de aplicaciones;
• formar al personal en buenas prácticas de ciberseguridad, como la detección de phishing;
• emplear sistemas SIEM para monitorizar comportamientos anómalos y conexiones sospechosas.

Entre las técnicas conocidas de BERT se incluyen la desactivación de UAC, del cortafuegos, la interrupción de servicios, el apagado de máquinas virtuales y el cifrado de datos. Su herramienta principal de ataque es PowerShell, que le otorga flexibilidad y aumenta las probabilidades de éxito.