Эволюция BERT и цели группы
BERT — новые фигуранты в мире семейств вымогателей, появившиеся весной 2025 года и уже успевшие атаковать компании из Европы, Азии и США. Группа специализируется на мультиплатформенном вредоносном ПО, действующем как на Windows, так и на Linux, в том числе целенаправленно на виртуальных инфраструктурах VMware ESXi.
Техника атаки и сложность обнаружения
Главная особенность BERT — быстрое параллельное шифрование файлов (на Linux — до 50 потоков), остановка виртуальных машин ESXi и использование простого, но эффективного PowerShell-скрипта загрузчика. Скрипт выполняет:
-
Эскалацию привилегий,
-
Отключение защитных механизмов (Windows Defender, UAC, фаерволл),
-
Автоматическую загрузку вредоносного payload’а.
Многие версии вымогателя не фиксируются антивирусами из-за постоянного усложнения логики загрузки и быстрой модификации кода.
Последствия атак и финансовый ущерб
-
Фактически неконтролируемое распространение шифрования внутри корпоративных сетей вплоть до критичных систем.
-
Невозможность быстрого восстановления даже при наличии бэкапов по причине принудительного отключения виртуальных машин.
-
Запросы на выкуп часто сопровождаются угрозой утечки данных.
Защита и советы
-
Регулярно тестируйте отказоустойчивость инфраструктуры, включая сценарии с остановкой ESXi.
-
Используйте сегментацию сети и специализированные средства мониторинга активности PowerShell.
-
Немедленно обновляйте и патчите все системы виртуализации.