BERT勒索软件组织跨平台攻击亚洲与欧洲

关键发现

• BERT（Trend Micro追踪为Water Pombero）是一个新兴勒索软件组织，针对Windows和Linux平台，已确认受害者在亚洲、欧洲和美国，特别是医疗保健、技术和活动服务行业。
• 该组织的策略包括基于PowerShell的加载器、特权提升和并发文件加密，尽管依赖简单的代码库，但仍能实现流线型攻击执行和规避。
• 在Linux系统上，BERT的勒索软件变种支持多达50个线程以实现快速加密，并可强制关闭ESXi虚拟机以最大化影响并中断恢复工作。
• Trend Vision One™检测并阻止与BERT相关的危害指标（IOCs）。Trend Vision One客户还可以访问狩猎查询、威胁洞察和威胁情报报告，以获取丰富的上下文和BERT的最新更新。

受害情况

初始事件影响美国和亚洲部分地区的组织。受影响行业包括医疗保健、技术和活动服务。最近，我们在遥测数据中发现该勒索软件的出现，表明其目标活动正在扩大。自4月首次出现以来，已有多个受害者。

Windows系统上的BERT

BERT勒索软件组织在其Windows变种中采用简单的代码结构。它使用特定字符串匹配并终止某些进程。

公钥、文件扩展名和勒索说明易于访问。它还使用标准AES算法加密文件。

野外观察到的活动

在透视工作中，我们识别出野外上传的其他样本。分析显示，这些样本是旧版本，缺乏我们内部遥测样本中看到的更新加密方法和功能序列。这些差异表明威胁行为者正在积极开发和改进勒索软件。

在调查过程中，我们发现一个PowerShell脚本（start.ps1）作为BERT勒索软件有效负载（payload.exe）的加载器。该脚本提升特权，禁用Windows Defender、防火墙和用户账户控制（UAC），然后从远程IP地址185[.]100[.]157[.]74下载并执行勒索软件。确切的初始访问方法尚不清楚。

有趣的是，提到的IP地址与ASN 39134相关联，该ASN注册在俄罗斯。虽然这本身不能确定归属，但使用俄罗斯基础设施可能表明与在该地区运营或相关的威胁行为者存在潜在联系。值得注意的是，start.ps1作为勒索软件的初始执行点。

PowerShell命令尝试通过使用Start-Process中的-Verb RunAs参数启动具有提升（管理员）特权的进程（payload.exe）。此参数明确告诉Windows以管理员身份运行可执行文件，或者当攻击者已经具有某种访问级别（例如，来自受损用户会话）并希望提升到完全管理员权限时使用。

IP地址上开放目录的内容可以包括payload.exe和start.ps1，以及它们相应的时间戳、文件大小和服务器信息，如图5所示。这种开放访问设置可能作为传递BERT勒索软件组件的暂存点。

BERT变种的演变

我们在此强调BERT勒索软件迭代之间观察到的几个差异之一，以展示其如何改进和流线化。旧变种首先枚举驱动器并在每个目录中放置其勒索说明。然后收集要加密的有效文件路径并将它们保存在数组中。只有在此收集阶段之后，它才继续进行多线程加密。

相比之下，新变种使用ConcurrentQueue并在每个驱动器上创建DiskWorker以改进多线程加密过程。这使得勒索软件能够在发现文件后立即开始加密文件，而不像旧版本那样首先将文件路径存储在数组中再进行加密。

Linux系统上的BERT

5月，我们识别出一个归因于BERT勒索软件组织的Linux样本。它利用50个线程最大化加密速度，使其能够快速加密整个系统的文件，并最小化检测或中断的机会。

此勒索软件接受以下命令行参数：

• --path, -p：指定要加密的目标目录。如果未提供，则加密当前目录。
• --threads, -t：指定用于加密的线程数。默认为50个线程。
• --silent, -s：启用静默模式，不会自动停止VM。

当在没有命令行参数的情况下执行时，它将使用图10中看到的命令关闭虚拟机。

此命令将强制终止ESXi主机上所有运行的虚拟机进程。

加密后，它附加扩展名.encrypted_by_bert并放置勒索说明encrypted_by_bert-decrypt.txt，还将在控制台中显示一个横幅，显示加密文件的数量。

勒索软件的配置以JSON格式嵌入，包含其公钥（pk）、Base64编码的勒索说明、要附加到加密文件的文件扩展名和其他详细信息。

进一步调查表明，该组织可能源自REvil的Linux变种，该变种最初于2021年初被识别，以针对ESXi服务器和Linux而闻名。另一份报告确认了泄露的Babuk源代码与归因于Conti和REvil的ESXi锁定器之间的重叠。尽管REvil组织在2022年被解散，但该组织很可能重用了REvil Linux变种的代码。

基于引用的报告，此版本使用嵌入在二进制文件中的JSON格式配置——这是大多数现代勒索软件的典型特征，因为它允许更好的适应性和更容易在不同活动中定制。

结论和建议

新的勒索软件组织可能会继续出现，重新利用熟悉的工具和代码，同时改进TTPs。正如BERT勒索软件组织所展示的，简单的工具可以导致成功的感染。这突显了新兴组织不需要复杂的技术即可有效——只需要一条可靠的路径来实现其目标，从入侵、外泄最终到利用受害者。

考虑到不断发展的TTPs，防御像BERT这样的威胁组织需要结合主动措施和经过验证的安全最佳实践。组织应密切监控PowerShell滥用和未经授权的脚本执行，特别是像start.ps1这样禁用安全工具和提升特权的加载器。加强端点保护、限制管理员权限和隔离关键系统（如ESXi服务器）也可以显著减少暴露。

为了主动防御BERT勒索软件的攻击，企业应实施全面的安全策略，包括以下最佳实践：

• 电子邮件和Web安全：谨慎处理电子邮件和Web实践。避免下载附件、点击链接或安装应用程序，除非来源经过验证和信任。实施Web过滤以限制对已知恶意网站的访问。这应有助于避免类似威胁的初始进入。
• 数据备份：定期备份关键数据并实施强大的恢复计划。这包括维护离线和不可变备份，以确保即使文件被加密或擦除也能恢复文件。
• 访问控制：仅在必要时限制管理员权限和访问特权。定期审查和调整权限以最小化未经授权访问的风险。
• 定期更新和扫描：确保所有安全软件定期更新并进行定期扫描以识别漏洞。使用端点安全解决方案检测和阻止恶意组件和可疑行为。
• 用户教育：为员工进行定期培训，识别社会工程策略和网络钓鱼的危险。这种意识可以显著降低成为此类攻击受害者的可能性。
• 多层安全方法：采用包括端点、电子邮件、Web和网络安全的多层防御策略。这种方法将有助于保护系统的潜在入口点并增强整体威胁检测能力。
• 沙盒和应用程序控制：使用沙盒工具在执行前分析文件，确保任何可疑文件都扫描潜在威胁。强制执行应用程序控制策略以防止未经授权的应用程序和脚本执行。
• 监控异常活动：实施安全信息和事件管理（SIEM）工具以监控异常脚本执行和出站连接。这种主动监控可以帮助识别和缓解威胁，然后它们升级。

观察到的TTPs

表1：BERT使用的TTPs摘要

使用Trend Vision One™进行主动安全

Trend Vision One™是唯一一个AI驱动的企业网络安全平台，集中了网络风险暴露管理、安全操作和强大的分层保护。这种全面方法帮助您预测和预防威胁，加速整个数字资产的主动安全结果。凭借数十年的网络安全领导力和Trend Cybertron（行业首个主动网络安全AI）的支持，它提供了经过验证的结果：勒索软件风险降低92%，检测时间减少99%。安全领导者可以基准化其态势并向利益相关者展示持续改进。借助Trend Vision One，您能够消除安全盲点，专注于最重要的事情，并将安全提升为创新的战略合作伙伴。

Trend Vision One™威胁情报

为了领先于不断发展的威胁，Trend客户可以访问Trend Vision One™威胁洞察，提供Trend Research关于新兴威胁和威胁行为者的最新洞察。

• 威胁洞察应用：

  • 威胁行为者：Water Pombero
  • 新兴威胁：新BERT勒索软件在AMEA和EU造成严重破坏

• 情报报告应用[IOC扫描]：

  • 新BERT勒索软件在AMEA和EU造成严重破坏

狩猎查询

Trend Vision One搜索应用 Trend Vision One客户可以使用搜索应用匹配或狩猎本博客文章中提到的恶意指标与其环境中的数据。

检测BERT勒索软件的存在： malName:Ransom*TREB* AND eventName:MALWARE_DETECTION

更多狩猎查询可用于具有威胁洞察授权的Vision One客户。

危害指标（IoC）

此条目的危害指标可在此处找到。

标签

文章, 新闻, 报告 | 勒索软件

作者

• Don Ovid Ladores - 威胁分析师
• Nathaniel Morales - 威胁分析师
• Maristel Policarpio - 威胁分析师
• Sophia Nilette Robles - 威胁分析师
• Sarah Pearl Camiling - 威胁猎人
• Ivan Nicole Chavez - 威胁分析师

相关文章

• Gunra勒索软件组织揭示高效的Linux变种
• 预防零点击AI威胁：来自EchoLeak的洞察
• 解锁Amazon Security Lake的力量以实现主动安全

查看所有文章