趋势科技预警BERT勒索软件:快速蔓延的新型威胁
新发现的威胁组织BERT已成为快速扩张的勒索软件团伙,自4月起针对亚洲、欧洲和美国的Windows与Linux系统展开攻击。趋势科技将其追踪为"Water Pombero",主要攻击医疗、科技和活动服务等关键基础设施领域。
攻击技术剖析
Windows系统攻击链:
- 使用特定字符串匹配并终止目标进程的简易代码结构
- 通过PowerShell脚本实现权限提升
- 禁用Windows Defender、防火墙和用户账户控制(UAC)
- 从远程IP地址185[.]100[.]157[.]74下载并执行勒索软件
Linux系统攻击特征:
- 采用50个并发线程最大化加密速度
- 可强制关闭ESXi虚拟机
- 通过快速加密降低检测和中断概率
安全专家警示
“BERT利用弱密码、终端保护不足、过度管理员权限、监控缺失和不安全备份等漏洞。它会禁用防御系统、快速横向移动,甚至能攻击虚拟机,增加恢复难度。“EIIRTrend首席执行官Pareekh Jain指出。
Ankura咨询公司董事总经理Amit Jaju建议:
- 对PowerShell启用约束语言模式
- 实施即时管理员权限机制
- 监控hypervisor API异常行为
- 建立15分钟内快速响应的自动化处置方案
防御体系升级建议
- 尝试下载远程代码或禁用安全工具的PowerShell会话
- 用户账户控制绕过行为
- ESXi/vCenter日志中的批量虚拟机停机事件
- 部署诱饵文件实现早期威胁检测
基础防护措施包括:
- 分层部署EDR/XDR解决方案
- 网络分段与严格权限控制
- 应用程序白名单机制
- 隔离备份的定期测试
- 漏洞及时修补与员工安全意识培训
勒索软件演进趋势
BERT属于新型"低代码高影响"勒索软件浪潮的代表,近期出现的其他变种包括:
- Gunra勒索软件:添加.encrt扩展名,针对医疗电子和饮料制造业
- Silent勒索组织:采用数据窃取后勒索的双重勒索模式
- Mamona组织:线下操作并清除攻击痕迹的混合型威胁
Greyhound Research首席执行官Sanchit Vir Gogia强调:“这种演进需要优先考虑爆炸半径控制、过程取证和基于欺骗的检测的分层防御体系,传统AV、EDR和边界防护工具已无法应对模块化、多变种的威胁执行模式。”