趋势科技安全分析师发现,一个代号为BERT(内部追踪名Water Pombero)的新型勒索软件组织正在亚洲、欧洲和美国展开多线程攻击。该组织主要针对医疗保健、科技和会展服务行业,其活动范围显示其正成为勒索软件生态中的新兴威胁力量。
攻击技术分析
在Windows系统中,BERT通过PowerShell加载器(start.ps1)实施攻击,该脚本会执行以下操作:
- 禁用Windows Defender防火墙和用户账户控制(UAC)等防护机制
- 提权后从俄罗斯ASN 39134网络基础设施提供的开放目录下载有效载荷(payload.exe)
- 终止与Web服务器和数据库相关的服务
- 使用AES算法加密文件,添加.encryptedbybert扩展名并投放勒索信
安全人员在PowerShell脚本中发现俄语注释,暗示攻击者可能具有俄语背景。
跨平台攻击特性
该勒索软件的Linux变种(发现于5月)表现出更强攻击性:
- 可启动50个并发线程快速加密目标目录
- 强制关闭ESXi虚拟机以确保最大破坏效果
- 采用模块化设计,二进制文件中嵌入了JSON格式的配置信息(包含密钥、扩展名和勒索信模板)
ESXi命令执行及文件加密日志(图片来源:趋势科技)
技术演进与关联分析
研究发现BERT存在两个版本迭代:
- 旧版采用两阶段加密(先收集文件路径后加密)
- 新版通过ConcurrentQueue实现即时加密,每发现一个驱动器就生成DiskWorker线程
代码比对显示,BERT的Linux变种与2021年公开泄露的REvil勒索软件存在相似性,表明攻击者可能基于历史高调攻击中使用的框架进行开发。