Новая угроза в мире кибербезопасности: BERT Ransomware атакует Windows и Linux

Основной вектор атаки BERT Ransomware - фишинг. Злоумышленники рассылают жертвам поддельные письма, заманивая их на вредоносные сайты или предлагая загрузить зараженные файлы. После успешного проникновения в систему вирус начинает шифровать данные, добавляя к файлам специфические расширения, такие как encryptedbybert, encryptedbybert3, encryptedbybert11, encrypted_bert и hellofrombert. Такой подход не характерен для большинства известных семейств ransomware, что затрудняет первоначальное обнаружение угрозы.

Группировка BERT действует через даркнет, используя два скрытых сервиса. Первый - это официальный блог злоумышленников, доступный по адресу bertblogsoqmm4ow7nqyh5ik7etsmefdbf25stauecytvwy7tkgizhad.onion. Второй - сервер для утечки данных жертв, расположенный по адресу wtwdv3ss4d637dka7iafl7737ucykei7pluzc7is3mgo2vl5nmq7eeid.onion. Интересно, что утечки публикуются частями в виде архивов с названиями part1, part2 и т. д.

В отличие от многих других ransomware-групп, BERT не использует специализированный сервер для переговоров с жертвами. Вместо этого злоумышленники предпочитают общаться через защищенный мессенджер Session, требуя выкуп в биткоинах. Например, в одном из зафиксированных случаев сумма выкупа составила 1,5 BTC.

География атак BERT Ransomware охватывает несколько стран, включая США, Великобританию, Малайзию, Тайвань, Колумбию и Турцию. Наибольшее число атак приходится на США. Что касается секторов экономики, наиболее уязвимыми оказались сфера услуг и производство. Также под удар попали логистика, IT и здравоохранение.

Анализ образцов вредоносного ПО показал, что BERT использует разные методы шифрования для Windows и Linux. В Windows-версии применяется RSA через WinAPI, а в Linux-варианте обнаружено 80% совпадение кодовой базы с печально известным Sodinokibi (REvil). Для шифрования данных в Linux используются AES, RC4 PRGA, Salsa20 и ChaCha, а также кодирование Base64.

Одной из ключевых особенностей BERT является использование PowerShell-скрипта, который предварительно ослабляет защиту системы. Скрипт отключает Windows Defender, брандмауэр и контроль учетных записей (UAC), после чего загружает и запускает вредоносную нагрузку с удаленного сервера. Этот сервер, расположенный в Швеции, принадлежит российской компании Edinaya Set Limited (UNITEDNET), что может указывать на возможное происхождение группировки.

Эксперты по кибербезопасности рекомендуют организациям усилить меры защиты, включая обучение сотрудников основам кибергигиены, регулярное обновление ПО и использование многофакторной аутентификации. Также важно иметь резервные копии критически важных данных, хранящиеся в изолированной среде.

BERT Ransomware - это очередное напоминание о том, что киберугрозы постоянно эволюционируют, и только комплексный подход к безопасности может минимизировать риски. Компаниям и частным пользователям следует оставаться бдительными и оперативно реагировать на новые вызовы цифрового мира.

IPv4

• 169.254.169.254
• 185.100.157.74

Onion Domains

• bertblogsoqmm4ow7nqyh5ik7etsmefdbf25stauecytvwy7tkgizhad.onion
• wtwdv3ss4d637dka7iafl7737ucykei7pluzc7is3mgo2vl5nmq7eeid.onion

URLs

• http://169.254.169.254/latest/meta-data/ami-id
• http://185.100.157.74/payload.exe

MD5

• 003291d904b89142bada57a9db732ae7
• 00fdc504be1788231aa7b7d2d1335893
• 29a2cc59a9ebd334103ce146bca38522
• 38ce06bf89b28ccebf5a78404eb3818e
• 3e581aad42a2a9e080a4a676de42f015
• 5cab4fabffeb5903f684c936a90e0b46
• 71dc9540eb03f2ed4d1b6496b13fe839
• d1013bbaa2f151195d563b2b65126fa3
• edec051ce461d62fbbd3abf09534b731