新型BERT勒索软件肆虐:多线程攻击同时针对Windows、Linux及ESXi系统

趋势科技安全分析师发现,一个代号为BERT(内部追踪名Water Pombero)的新型勒索软件组织正在亚洲、欧洲和美国展开多线程攻击。该组织主要针对医疗保健、科技和会展服务行业,其活动范围显示其正成为勒索软件生态中的新兴威胁力量。

攻击技术分析

在Windows系统中,BERT通过PowerShell加载器(start.ps1)实施攻击,该脚本会执行以下操作:

  1. 禁用Windows Defender防火墙和用户账户控制(UAC)等防护机制
  2. 提权后从俄罗斯ASN 39134网络基础设施提供的开放目录下载有效载荷(payload.exe)
  3. 终止与Web服务器和数据库相关的服务
  4. 使用AES算法加密文件,添加.encryptedbybert扩展名并投放勒索信

安全人员在PowerShell脚本中发现俄语注释,暗示攻击者可能具有俄语背景。

跨平台攻击特性

该勒索软件的Linux变种(发现于5月)表现出更强攻击性:

  • 可启动50个并发线程快速加密目标目录
  • 强制关闭ESXi虚拟机以确保最大破坏效果
  • 采用模块化设计,二进制文件中嵌入了JSON格式的配置信息(包含密钥、扩展名和勒索信模板)

ESXi命令执行及文件加密日志(图片来源:趋势科技)

技术演进与关联分析

研究发现BERT存在两个版本迭代:

  • 旧版采用两阶段加密(先收集文件路径后加密)
  • 新版通过ConcurrentQueue实现即时加密,每发现一个驱动器就生成DiskWorker线程

代码比对显示,BERT的Linux变种与2021年公开泄露的REvil勒索软件存在相似性,表明攻击者可能基于历史高调攻击中使用的框架进行开发。

相关推荐
机器之心13 分钟前
「世界模型」也被泼冷水了?邢波等人揭开五大「硬伤」,提出新范式
人工智能
甲丁19 分钟前
国内 Claude Code 接入指南(免费获得国内代理$100额度)
人工智能
机器之心21 分钟前
刚刚,为对抗哥大退学生开发的AI作弊器,哥大学生造了个AI照妖镜
人工智能
Binary_ey27 分钟前
AR/VR 显示画质失真?OAS百叶窗波导案例破难题
人工智能·ar·vr·软件需求·光学软件
运营黑客30 分钟前
Grok 4,来了。
人工智能·学习·ai·aigc
xunberg39 分钟前
【MCP 实战派】Node-RED MCP 插件实践指南:从安装到常见问题解析
人工智能·开源
二二孚日39 分钟前
自用华为ICT云赛道AI第一章知识点-机器学习概览
人工智能·华为
weisian15139 分钟前
人工智能-基础篇-24-RAG和LLM到底怎么理解和区分?(LLM是深度训练的大语言生成模型,RAG是LLM更智能的补充技术)
人工智能
WaiterL41 分钟前
一文读懂 MCP 与 Agent
前端·人工智能·cursor
Liudef061 小时前
MCP协议技术解析:AI时代的通信基础设施革命
人工智能·mcp