新型BERT勒索软件多线程攻击,同时针对Windows、Linux及ESXi系统

admin
admin
admin
146177
文章
119
评论
2025年7月8日21:46:04评论5 views字数 949阅读3分9秒阅读模式
新型BERT勒索软件多线程攻击,同时针对Windows、Linux及ESXi系统
新型BERT勒索软件多线程攻击,同时针对Windows、Linux及ESXi系统

趋势科技安全分析师发现,一个代号为BERT(内部追踪名Water Pombero)的新型勒索软件组织正在亚洲、欧洲和美国展开多线程攻击。该组织主要针对医疗保健、科技和会展服务行业,其活动范围显示其正成为勒索软件生态中的新兴威胁力量。

Part01

攻击技术分析

在Windows系统中,BERT通过PowerShell加载器(start.ps1)实施攻击,该脚本会执行以下操作:
1. 禁用Windows Defender防火墙和用户账户控制(UAC)等防护机制
2. 提权后从俄罗斯ASN 39134网络基础设施提供的开放目录下载有效载荷(payload.exe)
3. 终止与Web服务器和数据库相关的服务
4. 使用AES算法加密文件,添加.encryptedbybert扩展名并投放勒索信
安全人员在PowerShell脚本中发现俄语注释,暗示攻击者可能具有俄语背景。
Part02

跨平台攻击特性

该勒索软件的Linux变种(发现于5月)表现出更强攻击性:
1. 可启动50个并发线程快速加密目标目录
2. 强制关闭ESXi虚拟机以确保最大破坏效果
3. 采用模块化设计,二进制文件中嵌入了JSON格式的配置信息(包含密钥、扩展名和勒索信模板)
新型BERT勒索软件多线程攻击,同时针对Windows、Linux及ESXi系统
Part03

技术演进与关联分析

研究发现BERT存在两个版本迭代:
1. 旧版采用两阶段加密(先收集文件路径后加密)
2. 新版通过ConcurrentQueue实现即时加密,每发现一个驱动器就生成DiskWorker线程
代码比对显示,BERT的Linux变种与2021年公开泄露的REvil勒索软件存在相似性,表明攻击者可能基于历史高调攻击中使用的框架进行开发。

参考来源:

New BERT Ransomware Unleashed: Multi-Threaded Attacks Hit Windows, Linux & ESXi with REvil Links

https://securityonline.info/new-bert-ransomware-unleashed-multi-threaded-attacks-hit-windows-linux-esxi-with-revil-links/

原文始发于微信公众号(FreeBuf):新型BERT勒索软件多线程攻击,同时针对Windows、Linux及ESXi系统

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年7月8日21:46:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   新型BERT勒索软件多线程攻击,同时针对Windows、Linux及ESXi系统https://cn-sec.com/archives/4235250.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息