BERT: новая вымогательская группировка атакует бизнес по всему миру

Весной 2025 года эксперты обнаружили новую кибергруппировку, обозначенную как BERT, также известную как Water Pombero. Несмотря на простой набор инструментов, эти злоумышленники уже атаковали предприятия в Соединенных Штатах, Европе и Азии, особенно в секторах здравоохранения, информационных технологий и организации мероприятий.

Отличительной чертой BERT является одновременное нацеливание на системы Windows и Linux. Их вредоносное ПО характеризуется высокой скоростью шифрования и упорством: на Linux-серверах используется агрессивный метод с развертыванием множества потоков, деактивацией виртуальных машин и быстрым захватом файлов. Каждый зашифрованный файл помечается уникальным расширением .encrypted_by_bert, и жертва получает уведомление с инструкциями.

На устройствах Windows вредоносное ПО действует по-другому: сначала отключает защиту, такую как Defender и контроль учетных записей пользователей, а затем завершает работу важных служб, таких как базы данных и серверы. Шифрование осуществляется с использованием алгоритма AES, после чего жертве оставляется записка с требованием выкупа.

Ключевым элементом атаки является скрипт PowerShell, который загружает основной файл с сервера, вероятно, расположенного в российском интернет-сегменте. Хотя это не является прямым доказательством происхождения BERT, наличие русскоязычных комментариев в коде и открытых каталогов свидетельствует об определенной халатности, типичной для начинающих групп.

Исследователи подчеркивают, что BERT не предлагает ничего принципиально нового: его код во многом основан на существующих программах-вымогателях, таких как REvil и Babuk. Однако внедрение параллельной обработки посредством структуры ConcurrentQueue делает атаку более быстрой и сложной для обнаружения.