BERT olarak bilinen sofistike bir fidye yazılımı işlemi, Linux ortamlarını hedeflemek için özel olarak tasarlanmış ve tehdit manzarasındaki bir evrimi işaretleyerek silahlandırılmış ELF (yürütülebilir ve bağlantılı format) dosyaları geliştirerek yeteneklerini önemli ölçüde genişletmiştir.
İlk olarak Nisan 2025’te tespit edilen fidye yazılımı grubu, 2025 yılının ortalarından beri aktiftir ve başlangıçta Windows sistemlerine odaklanarak, şimdi hem Windows hem de Linux altyapısını tehdit eden platformlar arası yetenekleri içerecek şekilde yükseltmeden önce.
Fidye yazılımı operasyonu, kimlik avı kampanyalarını birincil enfeksiyon vektörü olarak kullanır ve hedef ağlarda ilk dayanak elde etmek için sosyal mühendislik tekniklerinden yararlanır.
.png
)
Raven dosya analistleri, Bert fidye yazılımının, grubun uzun vadeli operasyonlara ve kurban gasplarına olan bağlılığını gösteren karanlık web, sızıntı siteleri ve müzakere platformları üzerinde sofistike bir altyapı oluşturduğunu belirtti.
.webp)
Bert’in Linux ortamlarına genişlemesi, potansiyel hedef tabanını önemli ölçüde genişleten, özellikle Linux sunucularının kritik altyapı ve hizmetler için yaygın olarak konuşlandırıldığı kurumsal ortamları etkileyen stratejik bir değişimi temsil etmektedir.
Grup, Birleşik Devletler’in kurban istatistiklerine liderlik eden, ardından İngiltere, Malezya, Tayvan, Kolombiya ve Türkiye ile birlikte, birçok sektördeki kuruluşları başarıyla tehlikeye attı.
En çok etkilenen endüstriler hizmet ve üretim sektörlerini içerir, ancak grup aynı zamanda lojistik, bilgi teknolojisi ve sağlık kuruluşlarını da hedeflemiştir.
Grubun kurban portföyünün analizi, küçük işletmelerden büyük şirketlere kadar değişen şirketlerle hedef seçime hesaplanmış bir yaklaşım ortaya koymaktadır.
.webp)
Fidye yazılımı operatörleri, meşru web sitesi URL’leri, tahmini gelir rakamları ve yayın tarihleri de dahil olmak üzere, kapsamlı keşif yeteneklerini ve sistematik dokümantasyon uygulamalarını gösteren ayrıntılı mağdur profillerini korumaktadır.
Fidye yazılımının müzakere süreci, gizlilik odaklı iletişim kanalları aracılığıyla gerçekleşir ve talepler tipik olarak Bitcoin kripto para biriminde cinsindendir.
.webp)
Son vakalar, 1,5 BTC fidye taleplerini göstermiştir, ancak miktarlar mağdur büyüklüğüne ve algılanan ödeme yeteneğine göre değişmektedir.
Silahlı enfeksiyon mekanizması
Bert’in evriminin en ilgili yönü, şifreleme yükünü dağıtmadan önce güvenlik kontrollerini sistematik olarak devre dışı bırakmak için silahlandırılmış PowerShell komut dosyaları kullanan sofistike enfeksiyon mekanizmasında yatmaktadır.
Grup, hem PowerShell komut dosyalarını hem de yürütülebilir yükleri sunmak için 185.100.157.74 IP adresini kullanan, tehlikeye atılmış altyapı hakkında kötü amaçlı komut dosyaları barındırır.
Silahlaştırma süreci, ayrıcalık artış kontrollerini gerçekleştiren ve Windows güvenlik özelliklerini sistematik olarak söken bir PowerShell betiği ile başlar.
Komut dosyası ilk olarak yönetim ayrıcalıklarını doğrular ve gerekirse yüksek izinlerle yeniden yürütür. Daha sonra, gerçek zamanlı izleme ve bulut tabanlı koruma hizmetleri de dahil olmak üzere Windows Defender’ın temel koruma mekanizmalarını devre dışı bırakmak için kritik kayıt girişlerini değiştirir.
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender" -Name "DisableAntiSpyware" -Value 1 -Type DWord -Force
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" -Name "DisableRealtimeMonitoring" -Value 1 -Type DWord -ForceKomut dosyası ayrıca “Enabelua” kayıt defteri değerini sıfır olarak ayarlayarak kullanıcı hesabı kontrolünü devre dışı bırakarak, yetkisiz sistem değişikliklerini önleyen kritik bir güvenlik bariyerini etkili bir şekilde kaldırır.
Güvenlik nötralizasyonunu takiben, komut dosyası aynı uzlaşmış sunucu altyapısından birincil fidye yazılımı yükünü indirir ve yürütür.
Linux varyantı, kod tabanının yaklaşık% 80’ini kötü şöhretli Sodinokibi (Revil) fidye yazılımı ailesiyle paylaşarak sofistike kod yeniden kullanımını gösterir.
Bu varyant, AES, RC4 PRGA, Salsa20 ve Chacha dahil olmak üzere çoklu şifreleme algoritmaları kullanırken, kayıt defteri sorguları için AWK komutları ve veri gizlemesi için Base64 kodlaması kullanılır.
Altyapı analizi, komuta ve kontrol sunucularının Edinaya Set Limited aracılığıyla Rus kontrolü altında çalıştığını ve grubun sınırlı siber güvenlik işbirliği anlaşmalarına sahip yargı yetkilerini vurguladığını ortaya koyuyor.
Herhangi biriyle tehdit tepkisini otomatikleştirin. -> Tam erişim isteyin