Yeni fidye yazılım grubu, hasarı en üst düzeye çıkarmak ve organizasyonel iyileşme çabalarını engellemek için gelişmiş sanallaştırma saldırısı taktikleri kullanır.
Bert olarak bilinen yeni ortaya çıkan fidye yazılımı grubu, onu geleneksel fidye yazılımı operasyonlarından ayıran özellikle yıkıcı bir yetenek getirdi: şifrelemeden önce ESXI sanal makinelerini zorla sonlandırma yeteneği, hedeflenen kuruluşlar için kurtarma çabalarını önemli ölçüde karmaşıklaştırdı.
İlk olarak Nisan 2025’te gözlemlenen Bert (Trend Micro tarafından su Pombero olarak izlendi), kendisini Asya, Avrupa ve Amerika Birleşik Devletleri’nde sanallaştırılmış ortamlar için ciddi bir tehdit olarak kurmuştur.
Gelişmiş sanal makine hedefleme
Fidye yazılımının en ilgili özelliği, dosya şifrelemesine devam etmeden önce ESXI sanal makinelerini algılayabilen ve zorla kapatabilen Linux varyantında yatmaktadır.
Bu taktiksel yaklaşım, sanal makinelerin saldırı sırasında çalışmaya devam edememesini ve yöneticilerin kritik sistemleri hızlı bir şekilde göç etmesini veya desteklemesini engeller.
Kötü amaçlı yazılım, ESXI ana bilgisayarlarında çalışan tüm VM işlemlerinin sona ermesini zorlayan komutlar yürütür ve operasyonel aksamaları en üst düzeye çıkarır.
Müşterileri, vCenter sunucusu, uygulama ve altyapı hizmetlerini ve fiziksel kurumsal sunucular, ağ ve depolama sanallaştırmasını gösteren VMware vSphere mimarisinin diyagramı.
Bert’in Linux uygulaması, hızlı şifreleme için 50’ye kadar eşzamanlı iş parçacığını destekleyerek fidye yazılımlarının büyük sanallaştırılmış ortamları verimli bir şekilde işlemesine izin verir.
Komut satırı parametreleri olmadan yürütüldüğünde, kötü amaçlı yazılım, yerleşik ESXI komutlarını kullanarak sanal makineleri otomatik olarak kapatmaya devam ederek VMware altyapısı hakkında sofistike bilgi gösterir.
Fidye yazılımı grubu, Windows, Linux ve ESXI platformlarını aynı anda hedefleyen varyantlar geliştirerek hibrid BT ortamlarında kapsamlı saldırılar sağladı.
Windows sistemlerinde Bert, Rus altyapısından ana yükü indirmeden önce Windows Defender, Güvenlik Duvarları ve Kullanıcı Hesabı Kontrolü de dahil olmak üzere güvenlik özelliklerini devre dışı bırakan PowerShell tabanlı yükleyicileri kullanır.
Grubun hedefleme stratejisi, öncelikle sağlık, teknoloji ve etkinlik hizmetleri sektörlerine odaklanır ve onaylanmış kurbanlar birden fazla kıtayı kapsar.
Güvenlik araştırmacıları, Bert’in kod tabanı ile daha önce sızdırılmış Revil Linux varyantları arasındaki bağlantıları belirlediler, bu da grubun gelişmiş etkinlik için mevcut fidye yazılımı çerçevelerini yeniden kullanmış olabileceğini düşündürdü.
Zorla kapatma yeteneği, fidye yazılımı taktiklerinde önemli bir artışı temsil eder, çünkü kuruluşların siber olaylar sırasında güvendiği felaket kurtarma prosedürlerini doğrudan zayıflatır.
Geleneksel kurtarma yöntemleri genellikle yedek sanal makineleri hızla döndürmeyi veya iş yüklerini alternatif ana bilgisayarlara taşımayı içerir, ancak Bert’in yaklaşımı tüm VM süreçlerini sistematik olarak sonlandırarak bu seçenekleri ortadan kaldırır.
VMware ESXI hipervizörleri kullanan kuruluşlar, tek bir uzlaşmış hipervizör düzinelerce sanal makineyi aynı anda etkileyebileceğinden, özellikle riskle karşı karşıyadır.
Fidye yazılımı, hedef platforma bağlı olarak farklı dosya uzantıları ekler: Windows Systems’taki “.EncryptedBybert” ve Linux ve ESXI ortamlarında “.Encrypted_by_bert”.
Hafifletme
Siber güvenlik uzmanları, özellikle güvenlik araçlarını devre dışı bırakan yükleyicilere odaklanarak, PowerShell istismarı ve yetkisiz senaryo yürütme için gelişmiş izleme uygulamasını önerir.
Kuruluşlar ayrıca ESXI yönetim arayüzlerini izole etmek ve çevrimdışı ve değişmez kopyalar içeren sağlam yedekleme stratejileri uygulamak için ağ segmentasyonunu da dikkate almalıdır.
Bert’in ortaya çıkışı, fidye yazılımı operasyonlarının gelişen sofistike olmasının ve sanallaştırılmış altyapıya odaklanmalarının altını çiziyor.
Kuruluşlar iş yüklerini sanallaştırma platformlarında birleştirmeye devam ettikçe, bu tür hedeflenen saldırıların potansiyel etkisi sadece büyüyecek ve proaktif savunma önlemlerini her zamankinden daha kritik hale getirecektir.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi