Water Pombero olarak Trend Micro tarafından izlenen yeni tanımlanmış bir fidye yazılımı grubu Bert, Asya, Avrupa ve ABD’deki kuruluşlar için önemli bir tehdit olarak ortaya çıktı.
İlk olarak Nisan ayında gözlenen Bert, hem Windows hem de Linux sistemlerini enfekte etmek için çift platformlu bir yaklaşım kullanan sağlık, teknoloji ve etkinlik hizmetleri gibi kritik sektörleri hedefliyor.
Pencereleri ve Linux Sistemlerini Hedefleme Tehdit
Bu fidye yazılımı grubunun operasyonları bozma ve savunmalardan kaçınma yeteneği, nispeten basit bir kod tabanına güvenmesine rağmen, siber tehditlerin gelişen doğasının altını çiziyor.
Bert’in PowerShell tabanlı yükleyiciler ve eşzamanlı dosya şifrelemesi de dahil olmak üzere sofistike taktikleri, akıcı saldırı yürütmesini etkinleştirirken, Linux varyantı özellikle yıkıcı bir özellik getirir: ESXI sanal makinelerinin etkisi en üst düzeye çıkarmak ve iyileşme çabalarını zorlaştırmak için zorla kapatılması.
Windows sistemlerinde Bert, imtiyazları artırmak, Windows Defans’u, güvenlik duvarlarını ve kullanıcı hesabı kontrolünü (UAC) devre dışı bırakmak için “Start.ps1” gibi PowerShell komut dosyalarını kullanır.[.]100[.]157[.]74, bir Rus asn ile bağlantılı.
Bu yükleyici, derin sistem erişimini sağlayarak yönetici haklarıyla fidye yazılımı yürütür.
Bert, web sunucularına ve veritabanlarına bağlı kritik işlemleri sonlandırır, AES algoritmasını kullanarak dosyaları şifreler ve “.EncryptedBybert” gibi uzantıları ekler.
Platformlar arasında hızlı şifreleme
Yeni varyantları, ConcurrentQueue ve Diskworker kullanılarak, keşif üzerine derhal dosya şifrelemesi için gelişmiş çok iş parçacıklı şifreleme gösterir, bu da dosya yolları toplanana kadar şifrelemeyi geciktiren eski sürümler üzerinde önemli bir gelişme gösterir.
Linux’ta, özellikle ESXI ortamlarında Bert, hızlı şifreleme için 50’ye kadar iplik desteği ile yıkıcı potansiyelini artırıyor.
Fidye notlarını düşürürken “ESXCLI VM Process Kill” gibi komutları kullanarak sanal makine işlemlerini zorla sonlandırabilir, anlık görüntüleri şifreleyebilir ve “.Encrypted_by_bert” uzantısını ekleyebilir.
Sanallaştırma altyapısının bu kasıtlı hedeflenmesi, şifreli VM’ler ve anlık görüntüler erişilemez hale geldikçe, sistem yöneticilerine ciddi bir meydan okuma oluşturdukça kurtarmayı sakatlamayı amaçlamaktadır.
Rapora göre, Trend Micro’nun telemetrisi, Revil’in Linux varyantı gibi geçmiş fidye yazılımlarına kod benzerlikleri ile Bert’in evrimini gösteriyor ve sızdırılmış veya yeniden tasarlanmış kod tabanlarının yeniden kullanılmasını öneriyor ve ortaya çıkan grupların mevcut araçları yıkıcı etki ile nasıl silahlandırabileceğini vurguluyor.
Trend Vision One, organizasyonların bu tehdidin önünde kalmasına yardımcı olmak için av sorgularının ve tehdit istihbaratının yanı sıra Bert’in uzlaşma göstergelerinin (IOC’ler) sağlam tespiti ve engellenmesi sunar.
Uzlaşma Göstergeleri (IOC)
| SHA256 | Tespit | Tanım |
|---|---|---|
| 1ef6c1a4dfdc39b63bfe650ca81ab89510de6c0d3d7c608ac5be80033e559326 | Pua.win32.Defendercontrol.b | Antivirüs korumasını devre dışı bırakmak için kullanılan araç |
| 70211A3F90376BC61F49C22A63075D1D4DDD53F0AFA976216C46E6BA39A9F4 | Pua.win64.prochack.b | Process Hacker ikili işlem manipülasyonu için |
| 75fa5b506d095015046248cf6d2ec1c48111931b4584a040ceca57447e9b9d71 | Ransom.msil.treb.ypfdut | Bert Ransomware (Windows Binary, Yeni Varyant) |
| 8478d5f5a33850457abc89a99718fc871b80a8fb0f5b50ac1102f441189a311 | Ransom.msil.treb.smypfdut | Bert Fidye Yazılımı (Windows Binary) |
| B2F601CA68551C0669631FD5427E692926CE164F8B3A25AE969C7F6C6CE8E4F | Trojan.ps1.powload.thebibe | Bert fidye yazılımı için PowerShell betiği |
| BD2C2CF0631D881ED382817AFCCE2B093F4E412FFB170A719E2762F250ABFEA4 | Pua.win64.prochack.yaciu | Alternatif Process Hacker ikili varyant |
| C7efe9b84b8f48b71248d40143e759e6fc9c6b71724b69e0816c2db393db | Ransa.linux.treb.thbarbbebe | Bert Fidye Yazılımı (Linux Varyant) |
| hxxp: // 185[.]100[.]157[.]74/yük[.]exe | – | İndir bağlantısı |
Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.