Недавно появившаяся группа программ-вымогателей Bert активно атакует организации в США, Азии и Европе, используя различные варианты и быстро совершенствующиеся тактики для уклонения от обнаружения, отмечается в исследовании Trend Micro.
Bert замечена в атаках на компании с апреля 2025 года, подтверждены жертвы в таких секторах, как здравоохранение, технологии и организация мероприятий. Группа загружает и запускает программы-вымогатели с удалённого IP-адреса, связанного с ASN 39134, который зарегистрирован в России. «Хотя само по себе это не позволяет установить принадлежность, использование российской инфраструктуры может указывать на потенциальную связь с киберпреступниками, действующими в регионе», — заявили исследователи.
Bert, отслеживаемая экспертами Trend Micro как Water Pombero, также атаковала платформы Windows и Linux, используя вымогательское ПО. Многоцелевое использование знакомых инструментов и кода при постоянном совершенствовании тактики, методов и процедур является частью более широкой тенденции, наблюдаемой среди новых групп программ-вымогателей.
«Как показывает пример группы вымогателей Bert, простые инструменты могут привести к успешному заражению. Это подчёркивает, что новым группам не нужны сложные методы для эффективности — достаточно надёжного пути к достижению цели: от проникновения до эксфильтрации и, в конечном счёте, оказания давления на жертв», — констатировали в Trend Micro.
Точный первоначальный метод доступа, использованный группой, пока не установлен. В мае безопасники обнаружили образец программы-вымогателя для Linux, приписываемый Bert. Этот вариант использовал 50 потоков для максимальной скорости шифрования, что позволяло ему быстро шифровать файлы по всей системе и минимизировать вероятность обнаружения или прерывания работы. Он применял команду, которая принудительно завершала все запущенные процессы виртуальной машины на хосте ESXi.
Ещё одной особенностью деятельности группы является частое использование легитимного инструмента разработчика Windows PowerShell для повышения привилегий, обхода защиты и загрузки вымогательского софта. «Организациям следует внимательно отслеживать злоупотребление PowerShell и несанкционированное выполнение скриптов и загрузчиков, которые отключают инструменты безопасности и повышают привилегии», — заключили исследователи.
Усам Оздемиров
