Trend Micro: новая группировка Bert распространяет вымогательское ПО по всему миру и уже обновляет свои инструменты

В отчёте компании Trend Micro, опубликованном 7 июля, сообщается о всплеске активности новой вымогательской группировки Bert, также известной как Water Pombero. С апреля 2025 года эта группа нацелена на организации в США, Азии и Европе. Среди подтверждённых пострадавших — компании из сфер здравоохранения, технологий и организации мероприятий.

Согласно отчёту, атаки проводятся с использованием нескольких вариантов вымогательского ПО, ориентированных как на Windows, так и на Linux. Загрузка вредоносных файлов осуществляется с удалённого IP-адреса, зарегистрированного в России на ASN 39134. В документе подчёркивается, что это не доказывает причастность российских акторов, однако может свидетельствовать о возможной связи с регионами, где подобная инфраструктура активно используется.

Эксперты отмечают, что Bert активно перерабатывает известные инструменты и техники, а также постоянно адаптирует тактики и процедуры, стремясь к эффективности. «Пример Bert показывает, что даже простые средства могут привести к успешной атаке, если цепочка вторжения, эксфильтрации и давления на жертву налажена», — заявляется в отчёте.

Методы первичного доступа пока не установлены. Исследование Windows-варианта вредоносной программы показало, что он имеет простую структуру кода, завершает определённые процессы по строкам, шифрует файлы с использованием стандартного AES-алгоритма и создаёт заметку с требованиями выкупа в каждой директории.

В отчёте указано, что новые версии отличаются от ранних образцов Bert. В старых вариантах сначала производилось сканирование дисков, затем размещались заметки, после чего происходил сбор файлов в массив и только затем запускалось многопоточное шифрование. Новые версии стали быстрее и эффективнее.

Компания Trend Micro подчёркивает, что такие группы, как Bert, используют минимальные технические средства, но добиваются результата за счёт организованности и быстрой адаптации.