新型BERT勒索软件肆虐：多线程攻击同时针对Windows、Linux及ESXi系统

趋势科技安全分析师发现，一个代号为BERT（内部追踪名Water Pombero）的新型勒索软件组织正在亚洲、欧洲和美国展开多线程攻击。该组织主要针对医疗保健、科技和会展服务行业，其活动范围显示其正成为勒索软件生态中的新兴威胁力量。

攻击技术分析

在Windows系统中，BERT通过PowerShell加载器（start.ps1）实施攻击，该脚本会执行以下操作：

1. 禁用Windows Defender防火墙和用户账户控制（UAC）等防护机制
2. 提权后从俄罗斯ASN 39134网络基础设施提供的开放目录下载有效载荷（payload.exe）
3. 终止与Web服务器和数据库相关的服务
4. 使用AES算法加密文件，添加.encryptedbybert扩展名并投放勒索信

安全人员在PowerShell脚本中发现俄语注释，暗示攻击者可能具有俄语背景。

跨平台攻击特性

该勒索软件的Linux变种（发现于5月）表现出更强攻击性：

• 可启动50个并发线程快速加密目标目录
• 强制关闭ESXi虚拟机以确保最大破坏效果
• 采用模块化设计，二进制文件中嵌入了JSON格式的配置信息（包含密钥、扩展名和勒索信模板）

ESXi命令执行及文件加密日志（图片来源：趋势科技）

技术演进与关联分析

研究发现BERT存在两个版本迭代：

• 旧版采用两阶段加密（先收集文件路径后加密）
• 新版通过ConcurrentQueue实现即时加密，每发现一个驱动器就生成DiskWorker线程

代码比对显示，BERT的Linux变种与2021年公开泄露的REvil勒索软件存在相似性，表明攻击者可能基于历史高调攻击中使用的框架进行开发。