Mr.Dark
Активный пользователь
- Регистрация
- 01.06.2025
- Сообщения
- 8 072
- Реакции
- 6 980
- Баллы
- 113
BERT: новая вымогательская группировка атакует бизнес по всему миру✓ 09.07.25
Весной 2025 года специалисты зафиксировали активность неизвестной ранее киберпреступной группировки, получившей название BERT (она же Water Pombero). Несмотря на незамысловатый инструментарий, злоумышленники уже успели атаковать организации в США, Европе и Азии — особенно в сферах здравоохранения, ИТ и event-индустрии.
Главная особенность BERT — одновременные атаки на Windows- и Linux-системы. Их вредонос отличается высокой скоростью шифрования и настойчивостью: на Linux-серверах используется агрессивный подход с запуском десятков потоков, отключением виртуальных машин и быстрым захватом файлов. Каждому зашифрованному объекту присваивается характерное окончание — .encrypted_by_bert, а жертва получает уведомление с требованиями.
На Windows-устройствах вредонос ведёт себя иначе: сначала отключает защиту, включая Defender и контроль учётных записей, затем завершает работу критичных служб — баз данных, серверов и других. Шифрование выполняется алгоритмом AES, после чего оставляется записка для жертвы.
Одним из ключевых компонентов атаки является PowerShell-скрипт, скачивающий основной файл с сервера, предположительно размещенного в российском сегменте интернета. Хотя это не доказывает происхождение BERT, наличие русскоязычных комментариев в коде и открытых директорий указывает на определенную небрежность — типичную для начинающих групп.
Исследователи отмечают, что BERT не создаёт ничего принципиально нового: его код во многом заимствован у уже известных шифровальщиков вроде REvil и Babuk. Однако внедрение параллельной обработки через структуру ConcurrentQueue делает атаку более быстрой и трудной для обнаружения.