趨勢科技安全分析師發現,一個代號為BERT(內部追蹤名Water Pombero)的新型勒索軟件組織正在亞洲、歐洲和美國展開多線程攻擊。該組織主要針對醫療保健、科技和會展服務行業,其活動范圍顯示其正成為勒索軟件生態中的新興威脅力量。
攻擊技術分析
在Windows系統中,BERT通過PowerShell加載器(start.ps1)實施攻擊,該腳本會執行以下操作:
- 禁用Windows Defender防火墻和用戶賬戶控制(UAC)等防護機制
- 提權后從俄羅斯ASN 39134網絡基礎設施提供的開放目錄下載有效載荷(payload.exe)
- 終止與Web服務器和數據庫相關的服務
- 使用AES算法加密文件,添加.encryptedbybert擴展名并投放勒索信
安全人員在PowerShell腳本中發現俄語注釋,暗示攻擊者可能具有俄語背景。
跨平臺攻擊特性
該勒索軟件的Linux變種(發現于5月)表現出更強攻擊性:
- 可啟動50個并發線程快速加密目標目錄
- 強制關閉ESXi虛擬機以確保最大破壞效果
- 采用模塊化設計,二進制文件中嵌入了JSON格式的配置信息(包含密鑰、擴展名和勒索信模板)
ESXi命令執行及文件加密日志(圖片來源:趨勢科技)
技術演進與關聯分析
研究發現BERT存在兩個版本迭代:
- 舊版采用兩階段加密(先收集文件路徑后加密)
- 新版通過ConcurrentQueue實現即時加密,每發現一個驅動器就生成DiskWorker線程
代碼比對顯示,BERT的Linux變種與2021年公開泄露的REvil勒索軟件存在相似性,表明攻擊者可能基于歷史高調攻擊中使用的框架進行開發。
搭建開發環境)
)
