新型BERT勒索软件肆虐:多线程攻击同时针对Windows、Linux及ESXi系统

趋势科技安全分析师发现,一个代号为BERT(内部追踪名Water Pombero)的新型勒索软件组织正在亚洲、欧洲和美国展开多线程攻击。该组织主要针对医疗保健、科技和会展服务行业,其活动范围显示其正成为勒索软件生态中的新兴威胁力量。

攻击技术分析

在Windows系统中,BERT通过PowerShell加载器(start.ps1)实施攻击,该脚本会执行以下操作:

  1. 禁用Windows Defender防火墙和用户账户控制(UAC)等防护机制
  2. 提权后从俄罗斯ASN 39134网络基础设施提供的开放目录下载有效载荷(payload.exe)
  3. 终止与Web服务器和数据库相关的服务
  4. 使用AES算法加密文件,添加.encryptedbybert扩展名并投放勒索信

安全人员在PowerShell脚本中发现俄语注释,暗示攻击者可能具有俄语背景。

跨平台攻击特性

该勒索软件的Linux变种(发现于5月)表现出更强攻击性:

  • 可启动50个并发线程快速加密目标目录
  • 强制关闭ESXi虚拟机以确保最大破坏效果
  • 采用模块化设计,二进制文件中嵌入了JSON格式的配置信息(包含密钥、扩展名和勒索信模板)

ESXi命令执行及文件加密日志(图片来源:趋势科技)

技术演进与关联分析

研究发现BERT存在两个版本迭代:

  • 旧版采用两阶段加密(先收集文件路径后加密)
  • 新版通过ConcurrentQueue实现即时加密,每发现一个驱动器就生成DiskWorker线程

代码比对显示,BERT的Linux变种与2021年公开泄露的REvil勒索软件存在相似性,表明攻击者可能基于历史高调攻击中使用的框架进行开发。

相关推荐
WSSWWWSSW28 分钟前
华为昇腾NPU卡 文生视频[T2V]大模型WAN2.1模型推理使用
人工智能·大模型·音视频·显卡·文生视频·文生音频·文生音乐
数据要素X35 分钟前
【数据架构10】数字政府架构篇
大数据·运维·数据库·人工智能·架构
Ronin-Lotus1 小时前
深度学习篇---PaddleDetection模型选择
人工智能·深度学习
qq_40999093?1 小时前
安全和AI方向的学习路线
人工智能·安全
Blossom.1181 小时前
基于深度学习的医学图像分析:使用CycleGAN实现图像到图像的转换
人工智能·深度学习·目标检测·机器学习·分类·数据挖掘·语音识别
沐沐沐沐沐沐1 小时前
图像认知与OpenCV | Day5:图像预处理(4)
人工智能·opencv·计算机视觉
一水鉴天1 小时前
关于“PromptPilot” 之3 -Prompt构造器核心专项能力:任务调度
人工智能
陈敬雷-充电了么-CEO兼CTO1 小时前
强化学习三巨头PK:PPO、GRPO、DPO谁是大模型训练的「王炸」?
人工智能·python·机器学习·chatgpt·aigc·ppo·grpo
Wendy14411 小时前
【图像噪点消除】——图像预处理(OpenCV)
人工智能·opencv·计算机视觉
大江东去浪淘尽千古风流人物1 小时前
【prompt】Lyra 提示词深度研究
人工智能·prompt