新型BERT勒索软件肆虐:多线程攻击同时针对Windows、Linux及ESXi系统

趋势科技安全分析师发现,一个代号为BERT(内部追踪名Water Pombero)的新型勒索软件组织正在亚洲、欧洲和美国展开多线程攻击。该组织主要针对医疗保健、科技和会展服务行业,其活动范围显示其正成为勒索软件生态中的新兴威胁力量。

攻击技术分析

在Windows系统中,BERT通过PowerShell加载器(start.ps1)实施攻击,该脚本会执行以下操作:

  1. 禁用Windows Defender防火墙和用户账户控制(UAC)等防护机制
  2. 提权后从俄罗斯ASN 39134网络基础设施提供的开放目录下载有效载荷(payload.exe)
  3. 终止与Web服务器和数据库相关的服务
  4. 使用AES算法加密文件,添加.encryptedbybert扩展名并投放勒索信

安全人员在PowerShell脚本中发现俄语注释,暗示攻击者可能具有俄语背景。

跨平台攻击特性

该勒索软件的Linux变种(发现于5月)表现出更强攻击性:

  • 可启动50个并发线程快速加密目标目录
  • 强制关闭ESXi虚拟机以确保最大破坏效果
  • 采用模块化设计,二进制文件中嵌入了JSON格式的配置信息(包含密钥、扩展名和勒索信模板)

ESXi命令执行及文件加密日志(图片来源:趋势科技)

技术演进与关联分析

研究发现BERT存在两个版本迭代:

  • 旧版采用两阶段加密(先收集文件路径后加密)
  • 新版通过ConcurrentQueue实现即时加密,每发现一个驱动器就生成DiskWorker线程

代码比对显示,BERT的Linux变种与2021年公开泄露的REvil勒索软件存在相似性,表明攻击者可能基于历史高调攻击中使用的框架进行开发。

相关推荐
俊哥V9 分钟前
AI一周事件(2025年10月15日-10月21日)
人工智能·ai
wperseverance15 分钟前
Pytorch常用层总结
深度学习·机器学习
永霖光电_UVLED25 分钟前
FBH公司开发了200 MHz GaN降压变换器模块
人工智能·神经网络·生成对抗网络
说私域29 分钟前
流量转化与生态重构:“开源AI智能名片链动2+1模式S2B2C商城小程序”对直播电商的范式革新
人工智能·重构·开源
TextIn智能文档云平台31 分钟前
如何让AI更好地理解中文PDF中的复杂格式?
人工智能·pdf
小殊小殊32 分钟前
【论文笔记】LTX-Video极致速度的视频生成模型
图像处理·人工智能·深度学习
_AaRong_37 分钟前
《Hiding Images in Diffusion Models by Editing Learned Score Functions》 论文阅读
论文阅读·人工智能·计算机视觉
性感博主在线瞎搞43 分钟前
【人工智能】神经网络的优化器optimizer(四):Adam自适应动量优化器
人工智能·深度学习·神经网络·性能优化·优化器
科技宅说44 分钟前
OPARTMENT发布Light 系列 以“光”重塑都市青年生活方式
大数据·人工智能·生活