BERT Ransomware: Новая угроза для бизнеса в Азии и Европе

BERT, также известный как Water Pombero по классификации Trend Micro, атакует как Windows, так и Linux-системы, что делает его особенно опасным для корпоративной инфраструктуры. Среди подтверждённых жертв - компании из сфер здравоохранения, технологий и организации мероприятий. Особенностью группы является использование PowerShell-скриптов для загрузки вредоносного ПО, повышения привилегий и отключения защитных механизмов, таких как Windows Defender и межсетевой экран.

Для Windows-платформы BERT применяет стандартный алгоритм шифрования AES, при этом его код позволяет быстро завершать процессы, связанные с веб-серверами, базами данных и другими критически важными службами. После заражения файлы получают расширение .encryptedbybert, а жертвам оставляют сообщение с требованиями выкупа. Интересно, что инфраструктура, используемая для распространения вредоносного ПО, связана с ASN 39134, хотя это не является достаточным для точной атрибуции группировки.

Аналитики Trend Micro отмечают, что за короткий срок BERT значительно усовершенствовал свои методы. Если ранние версии ransomware сначала сканировали систему, сохраняли пути к файлам и лишь затем приступали к шифрованию, то новые варианты используют ConcurrentQueue и многопоточность для мгновенного шифрования обнаруженных данных. Это ускоряет атаку и снижает вероятность обнаружения до завершения вредоносной деятельности.

Для Linux-систем группа подготовила отдельный вариант, способный работать с 50 потоками для максимально быстрого шифрования. Этот модуль особенно опасен для виртуальных машин на базе ESXi - он принудительно завершает их работу, чтобы затруднить восстановление данных. Как и в случае с Windows-версией, после шифрования файлы получают новое расширение (*.encrypted_by_bert*), а злоумышленники оставляют инструкции по выплате выкупа.

Эксперты предполагают, что BERT мог позаимствовать часть кода из утечек, связанных с группами REvil и Babuk, которые были активны в 2021-2022 годах. Это указывает на возможную преемственность между старыми и новыми киберпреступными группировками, несмотря на их официальный разгром правоохранительными органами.

BERT - лишь один из примеров постоянно развивающейся угрозы. Аналитики прогнозируют, что в ближайшие месяцы активность этой группы может возрасти, особенно с учетом её способности адаптироваться и улучшать свои инструменты. Компаниям, особенно в целевых отраслях, следует быть готовыми к потенциальным атакам и заранее прорабатывать стратегии реагирования на инциденты.

URLs

• http://185.100.157.74/payload.exe

SHA256

• 1ef6c1a4dfdc39b63bfe650ca81ab89510de6c0d3d7c608ac5be80033e559326
• 70211a3f90376bbc61f49c22a63075d1d4ddd53f0aefa976216c46e6ba39a9f4
• 75fa5b506d095015046248cf6d2ec1c48111931b4584a040ceca57447e9b9d71
• 8478d5f5a33850457abc89a99718fc871b80a8fb0f5b509ac1102f441189a311
• b2f601ca68551c0669631fd5427e6992926ce164f8b3a25ae969c7f6c6ce8e4f
• bd2c2cf0631d881ed382817afcce2b093f4e412ffb170a719e2762f250abfea4
• c7efe9b84b8f48b71248d40143e759e6fc9c6b7177224eb69e0816cc2db393db