Наибольшему риску подверглись компании, работающие в сферах здравоохранения, информационных технологий и организации мероприятий.
Хакеры из BERT одновременно атакуют как Windows-, так и Linux-системы. Несмотря на простоту исходного кода, они используют выверенные приёмы: загрузчики на PowerShell, эскалацию привилегий и параллельное шифрование файлов. Это позволяет им быстро проводить атаки и обходить защиту, не прибегая к сложным решениям, пишет Securitylab.
На серверах с Linux их вредонос отличается особой агрессивностью. Программа запускает до 50 потоков, чтобы ускорить шифрование, а также может принудительно завершать работу виртуальных машин ESXi — это серьёзно затрудняет восстановление после атаки. После завершения операции файлы получают расширение .encrypted_by_bert, а пользователю показывается число зашифрованных объектов и сообщение с требованиями.
На Windows-системах вредонос также устроен просто: ищет и завершает работу критически важных служб — веб-серверов, баз данных и других. Шифрование происходит с помощью стандартного алгоритма AES, после чего появляется заметка с требованиями и зашифрованные файлы получают уникальное расширение.
Специалисты компании нашли PowerShell-скрипт (start.ps1), выполняющий роль загрузчика. Он отключает защитные средства системы — в том числе Windows Defender и UAC — а затем скачивает основной вредонос с IP-адреса 185[.]100[.]157[.]74, который относится к автономной системе из России (ASN 39134). Хотя сам по себе этот факт не доказывает причастность российских группировок, он может указывать на географическую или инфраструктурную связь.
Особый интерес вызвали файлы на открытом сервере по указанному IP — там в свободном доступе лежат как start.ps1, так и payload.exe. Открытая директория и наличие русскоязычных комментариев в коде говорят о невысокой скрытности операции, что типично для начинающих группировок.
По данным Trend Micro, злоумышленники продолжают развивать и обновлять своё программное обеспечение. В старой версии BERT сначала собирает список всех доступных файлов и только потом приступает к шифрованию. Новая модификация более динамична: с помощью структуры ConcurrentQueue она начинает процесс немедленно после нахождения файла, используя несколько «работников» (DiskWorker), что ускоряет процесс и затрудняет обнаружение.
Анализ Linux-версии показал, что её структура напоминает фрагменты старых шифровальщиков REvil и Babuk. BERT использует конфигурации в формате JSON, в которые включены публичный ключ, заметка для жертвы, список расширений и другие параметры. По предположению исследователей, код мог быть заимствован у расформированных в прошлом группировок.
В отчёте отмечено, что многие злоумышленники сегодня не изобретают новых подходов, а адаптируют уже существующие решения, делая их эффективнее. Это касается и BERT — их тактика проста, но результативна. Угрозу представляют даже не изощрённые технические приёмы, а умение обойти базовые уровни защиты.
Чтобы защититься от подобных атак, специалисты советуют:
Среди известных приёмов BERT — отключение UAC, брандмауэра, деактивация служб, остановка виртуальных машин и шифрование данных. В качестве основного инструмента атаки используется PowerShell, который обеспечивает гибкость и повышает вероятность успеха атаки.