Анализ программы-вымогателя BERT: угрозы и тактики атак 2025
Источник: theravenfile.com
В середине марта 2025 года появилась новая программа-вымогатель BERT, которая кардинально усложнила задачи кибербезопасности для организаций по всему миру. Обнаруженная впервые в апреле 2025 года, вредоносная программа быстро распространилась, затронув как системы Windows, так и Linux. Эксперты отмечают значительный рост активности BERT и его высокую адаптивность, что ставит под угрозу важнейшие отрасли экономики.
Механизмы распространения и особенности работы BERT
Главным каналом заражения остаются фишинговые кампании, которые выступают в роли первоначального источника проникновения вредоносного ПО в систему. Само взаимодействие с C2-серверами организовано через инфраструктуру, работающую под управлением Apache/2.4.52 на базе Ubuntu. Примечательно, что BERT не использует отдельный Onion-домен для обмена данными, а полагается на сеансы, ориентированные на сохранение конфиденциальности, что усложняет его отслеживание и блокировку.
География и пострадавшие отрасли
- Лидером по числу атак остаются Соединённые Штаты;
- Далее следуют Великобритания, Малайзия, Тайвань, Колумбия и Турция;
- Наиболее пострадавшие сектора включают:
- сферу услуг;
- производство;
- логистику;
- информационные технологии;
- здравоохранение.
Это свидетельствует о целенаправленной атаке на критически важные инфраструктуры и экономические сегменты, что несет существенные риски как для бизнеса, так и для общества в целом.
Особенности вредоносного кода и шифрования
Программа содержит несколько исполняемых файлов для Windows, в том числе newcryptor.exe, а также Bert, Bert11, worker.exe, payload.exe, build.exe и build.exe.bin. Версия для Linux демонстрирует около 80%-ное сходство с кодовой базой известного вымогателя Revil (Sodinokibi).
В качестве алгоритмов шифрования используются :
- AES и RC4 PRGA — в основном для Windows;
- Для Linux-версии добавляются Salsa20 и ChaCha;
- Все зашифрованные данные хранятся в формате Base64.
Методы обхода защиты и запуск атаки
Ключевым элементом атаки является специализированный PowerShell-скрипт, предназначенный для нейтрализации системных защит Windows. Он изменяет реестр, отключая следующие функции безопасности:
- защиту в режиме реального времени;
- облачную защиту;
- настройки брандмауэра;
- а также отключает контроль учетных записей пользователей (UAC), устанавливая параметр
EnableLUAв значение0.
Дополнительно скрипт пытается завершить работу служб безопасности и загружает из интернета исполняемый файл payload.exe с удаленного сервера по IP-адресу 185.100.157.74. Далее вредоносный файл запускается с правами администратора из системного каталога temp.
Связь с российским IT-сектором и особенности инфраструктуры
Интересно, что как сам скрипт PowerShell, так и загруженная полезная нагрузка размещены на одном и том же сервере, принадлежащем компании Edinaya Set Limited, афилированной с российской фирмой. Это подчеркивает географическую связь исходных серверов управления программой-вымогателем и, возможно, ее разработчиков или операторов.
Оценка и выводы экспертов
При анализе Linux-версии BERT выявляется значительная заимствованность кода из программы-вымогателя Revil. Это доказывает, что злоумышленники используют стратегию модификации проверенных вредоносных платформ для ускорения разработки новых угроз.
Эксперты отмечают: «Использование ранее созданных платформ, таких как Revil, позволяет злоумышленникам эффективно адаптироваться к новым средам и значительно упрощает процесс разработки сложных кибератак».
Таким образом, BERT демонстрирует все признаки эволюции современных программ-вымогателей: быстрое распространение, высокую технологичность, а также адаптацию к многообразным операционным системам. Это заставляет специалистов по кибербезопасности уделять особое внимание раннему выявлению подобных угроз и усилению многоуровневой защиты инфраструктур.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
