Image by Rohan, from Unsplash
Берт-вымогатель атакует здравоохранение и технологические компании по всему миру
Время для прочтения: 2 мин.
Последние обновления: Jul 8, 2025
-
![Киара Фаббри]()
-
![Команда локализации и перевода]()
Перевод выполнен Команда локализации и перевода Услуги локализации и перевода
Берт, новая группа, распространяющая вымогательское ПО, атакует здравоохранение и технологические компании по всему миру, используя быстрое и скрытное вредоносное ПО, которое влияет на системы Windows и Linux.
Торопитесь? Вот краткий обзор:
- Bert шифрует как системы Windows, так и Linux, используя многопоточное выполнение.
- Он отключает инструменты безопасности с помощью PowerShell перед выполнением полезной нагрузки.
- Более новые версии мгновенно шифруют файлы, увеличивая скорость и уровень повреждений.
Новая группа вымогателей, известная как «Bert», атакует организации по всей Азии, Европе и Соединенным Штатам, с подтвержденными жертвами в сфере здравоохранения, технологий и организации мероприятий, как сообщалось в понедельник Trend Micro.
Впервые обнаруженный в апреле, Берт привлек внимание своим быстрым развитием и способностью атаковать несколько платформ, а также связями со старыми группами вымогателей, такими как REvil.
Вредоносное ПО работает как на платформах Windows, так и на Linux с помощью скрипта PowerShell, который отключает инструменты безопасности перед загрузкой вымогательского ПО. Жертвы получают прямое сообщение: «Привет от Берта! Ваша сеть взломана и файлы зашифрованы.»
Исследователи из Trend Micro описывают код группы как простой, но мощный. Например, на Linux, Берт может использовать до 50 потоков для быстрого шифрования файлов. Он даже отключает виртуальные машины ESXi, чтобы максимизировать ущерб и усложнить восстановление. На Windows он завершает процессы, связанные с веб-серверами и базами данных, перед шифрованием данных.
Рансомвар добавляет «.encrypted_by_bert» в качестве расширения файла к зашифрованным файлам, создавая при этом заметку о выкупе, которая включает информацию об оплате. Анализ множества образцов показывает, что Берт постоянно развивается, где его последние версии шифруют файлы рансомвара сразу после обнаружения, а не собирают сначала пути файлов.
Исследователи считают, что группа получила свой вариант кода для Linux от версии Linux REvil после того, как эту печально известную группировку распали в 2021 году. Русскоязычные комментарии на сервере Bert, зарегистрированном в России, намекают на возможное участие региональных актеров, но ни одна официальная группа не была идентифицирована.
Эксперты предупреждают, что восхождение Bert подчеркивает, как даже базовое вредоносное ПО может быть опасным, когда оно сочетается с украдкой техниками и стратегической нацеливанием.
Предыдущая история
Последние статьи 
