Μια νέα ομάδα ransomware, η Bert, έχει αρχίσει να στοχεύει οργανισμούς στις ΗΠΑ, την Ασία και την Ευρώπη, χρησιμοποιώντας πολλαπλές παραλλαγές και εξελίσσοντας γρήγορα τις τακτικές της για να αποφύγει τον εντοπισμό . Η Bert παρακολουθείται από την Trend Micro ως Water Pombero .
Η ομάδα Bert παρατηρείται να στοχεύει οργανισμούς από τον Απρίλιο του 2025, με επιβεβαιωμένα θύματα σε τομείς όπως η υγειονομική περίθαλψη, η τεχνολογία και οι υπηρεσίες εκδηλώσεων . Η ομάδα Bert κατεβάζει και εκτελεί ransomware από μια απομακρυσμένη διεύθυνση IP που σχετίζεται με το ASN 39134, το οποίο είναι καταχωρημένο στη Ρωσία . Ενώ αυτό από μόνο του δεν καθορίζει την απόδοση, η χρήση ρωσικής υποδομής μπορεί να υποδεικνύει μια πιθανή σύνδεση με παράγοντες απειλής που λειτουργούν ή σχετίζονται με την περιοχή .
Η Bert έχει επίσης στοχεύσει πλατφόρμες Windows και Linux χρησιμοποιώντας διαφορετικές παραλλαγές ransomware . Η επαναχρησιμοποίηση γνωστών εργαλείων και κώδικα, ενώ παράλληλα βελτιώνονται συνεχώς οι τακτικές, οι τεχνικές και οι διαδικασίες, αποτελεί μέρος μιας ευρύτερης τάσης που παρατηρείται σε νέες ομάδες ransomware . Όπως αποδεικνύει η ομάδα ransomware Bert, απλά εργαλεία μπορούν να οδηγήσουν σε επιτυχημένες μολύνσεις . Αυτό υπογραμμίζει πώς οι αναδυόμενες ομάδες δεν χρειάζονται πολύπλοκες τεχνικές για να είναι αποτελεσματικές – απλώς μια αξιόπιστη διαδρομή προς τον στόχο τους, από την εισβολή, την εξαγωγή και τελικά την μόχλευση έναντι των θυμάτων . Μια ακριβής αρχική μέθοδος πρόσβασης που χρησιμοποιείται από την ομάδα δεν έχει ακόμη προσδιοριστεί .
Η έκθεση της Trend Micro, που δημοσιεύθηκε στις 7 Ιουλίου, σημείωσε ότι η Bert έχει ήδη βελτιώσει και εξορθολογίσει τις παραλλαγές ransomware της σε σύντομο χρονικό διάστημα . Μια ανάλυση μιας μόλυνσης ενός συστήματος Windows διαπίστωσε ότι η παραλλαγή χρησιμοποιούσε μια απλή δομή κώδικα, με συγκεκριμένες συμβολοσειρές για να ταιριάζουν και να τερματίζουν ορισμένες διαδικασίες . Τα αρχεία κρυπτογραφήθηκαν χρησιμοποιώντας τον τυπικό αλγόριθμο AES . Το δημόσιο κλειδί, η επέκταση αρχείου και η σημείωση λύτρων ήταν εύκολα προσβάσιμα . Περαιτέρω έρευνες για την ομάδα εντόπισαν πρόσθετες παραλλαγές των Windows που μεταφορτώθηκαν στο διαδίκτυο .
Σε συστήματα Linux, η παραλλαγή ransomware της Bert υποστηρίζει έως και 50 νήματα για γρήγορη κρυπτογράφηση και μπορεί να τερματίσει βίαια εικονικές μηχανές ESXi για να μεγιστοποιήσει τον αντίκτυπο και να διαταράξει τις προσπάθειες ανάκτησης . Το Trend Vision One™ ανιχνεύει και αποκλείει τους δείκτες συμβιβασμού (IOC) που σχετίζονται με την Bert . Οι πελάτες του Trend Vision One™ μπορούν επίσης να έχουν πρόσβαση σε ερωτήματα κυνηγιού, πληροφορίες για απειλές και αναφορές πληροφοριών για απειλές για να αποκτήσουν πλούσιο πλαίσιο και τις πιο πρόσφατες ενημερώσεις σχετικά με την Bert .
Η διαμόρφωση του ransomware είναι ενσωματωμένη σε μορφή JSON, που περιέχει το δημόσιο κλειδί του (pk), μια σημείωση λύτρων κωδικοποιημένη σε Base64, επεκτάσεις αρχείων που θα προσαρτηθούν σε κρυπτογραφημένα αρχεία και άλλες λεπτομέρειες . Περαιτέρω έρευνα υποδηλώνει ότι η ομάδα μπορεί να προήλθε από την παραλλαγή Linux του REvil, που εντοπίστηκε αρχικά στις αρχές του 2021 και είναι γνωστή για τη στόχευση διακομιστών ESXi και Linux . Αν και η ομάδα REvil διαλύθηκε το 2022, είναι πιθανό η ομάδα να επαναχρησιμοποίησε κώδικα από την παραλλαγή Linux του REvil .
Μέσα σε ένα σύστημα, το κακόβουλο λογισμικό αποθέτει μια σημείωση λύτρων που αναφέρει: «Γεια σας από τον Bert! Το δίκτυό σας έχει παραβιαστεί και τα αρχεία είναι κρυπτογραφημένα», ακολουθούμενη από οδηγίες για την επικοινωνία με τους εισβολείς για τη διαπραγμάτευση της πληρωμής . Οι ερευνητές είπαν ότι το ransomware αναπτύσσεται ενεργά, με πολλαπλές παραλλαγές να έχουν ήδη παρατηρηθεί . Ενώ κανένας συγκεκριμένος παράγοντας απειλής δεν έχει συνδεθεί επίσημα με τις επιθέσεις, η χρήση ρωσικής υποδομής μπορεί να υποδηλώνει δεσμούς με ομάδες που λειτουργούν ή συνδέονται με την περιοχή .
Η ομάδα αρχικά στόχευε το περιβάλλον των Windows τον Μάρτιο του 2025, αλλά τον Μάιο του 2025 η ομάδα αναβάθμισε για να ξεκινήσει επιθέσεις που στοχεύουν επίσης μηχανές Linux . Σε ό,τι αφορά τους τομείς, οι περισσότεροι που επλήγησαν είναι οι τομείς των υπηρεσιών και της μεταποίησης . Άλλοι εμπλεκόμενοι τομείς είναι: Logistics, IT και Healthcare .