新型BERT勒索软件肆虐:多线程攻击同时针对Windows、Linux及ESXi系统

趋势科技安全分析师发现,一个代号为BERT(内部追踪名Water Pombero)的新型勒索软件组织正在亚洲、欧洲和美国展开多线程攻击。该组织主要针对医疗保健、科技和会展服务行业,其活动范围显示其正成为勒索软件生态中的新兴威胁力量。

攻击技术分析

在Windows系统中,BERT通过PowerShell加载器(start.ps1)实施攻击,该脚本会执行以下操作:

  1. 禁用Windows Defender防火墙和用户账户控制(UAC)等防护机制
  2. 提权后从俄罗斯ASN 39134网络基础设施提供的开放目录下载有效载荷(payload.exe)
  3. 终止与Web服务器和数据库相关的服务
  4. 使用AES算法加密文件,添加.encryptedbybert扩展名并投放勒索信

安全人员在PowerShell脚本中发现俄语注释,暗示攻击者可能具有俄语背景。

跨平台攻击特性

该勒索软件的Linux变种(发现于5月)表现出更强攻击性:

  • 可启动50个并发线程快速加密目标目录
  • 强制关闭ESXi虚拟机以确保最大破坏效果
  • 采用模块化设计,二进制文件中嵌入了JSON格式的配置信息(包含密钥、扩展名和勒索信模板)

ESXi命令执行及文件加密日志(图片来源:趋势科技)

技术演进与关联分析

研究发现BERT存在两个版本迭代:

  • 旧版采用两阶段加密(先收集文件路径后加密)
  • 新版通过ConcurrentQueue实现即时加密,每发现一个驱动器就生成DiskWorker线程

代码比对显示,BERT的Linux变种与2021年公开泄露的REvil勒索软件存在相似性,表明攻击者可能基于历史高调攻击中使用的框架进行开发。

相关推荐
a1111111111ss11 分钟前
yoloVV11 SPPF篇 | 2024最新AIFI模块改进特征金字塔网络
python·深度学习·目标检测
Joseit2 小时前
AI应用生成平台:数据库、缓存与存储
数据库·人工智能·缓存
QYR_112 小时前
2025-2031年全球箱体与盒体搬运机器人行业全景报告(含市场规模、竞争格局及投资潜力)
人工智能·市场研究
@小蜗牛4 小时前
pycharm+raidrive+autodl
服务器·深度学习·pycharm
袁总6664 小时前
智能座舱问答
人工智能
Sirius Wu5 小时前
SFT/DPO/PPO/GRPO训练全解析
人工智能·深度学习·语言模型
Learn Beyond Limits5 小时前
Clustering|聚类
人工智能·深度学习·神经网络·机器学习·ai·聚类·吴恩达
KKKlucifer5 小时前
IDC发布AI+政务、财政、应急三大市场空间与厂商份额报告
人工智能·百度·政务
丁希希哇5 小时前
【论文精读】CogVideoX: Text-to-Video Diffusion Models with An Expert Transformer
人工智能·深度学习·transformer
网易伏羲5 小时前
网易伏羲受邀亮相2025云栖大会,展示AI领域前沿创新成果
人工智能