İlk olarak Nisan 2025’te tespit edilen ancak Mart ortasından bu yana aktif olan Bert Fidye Grubu, Windows ortamlarını hedeflemekten Mayıs 2025 itibariyle Linux makinelerine sofistike saldırılar başlatmaya kadar genişletti.
Başlangıçta kimlik avı kampanyaları aracılığıyla tespit edilen Bert, Linux sistemleri için tasarlanmış silahlandırılmış ELF (yürütülebilir ve bağlantılı format) dosyalarını konuşlandırarak zorlu bir düşmana dönüştü.
Bu değişim, kritik altyapı için Linux’a bağımlı küresel işletmeler için önemli bir risk oluşturmaktadır.
.png
)
Windows to Linux
Bert’in Linux varyantının teknik analizi, rezil sodinokibi (Revil) fidye yazılımı ile endişe verici bir% 80 kod tabanı benzerliği ortaya koyar ve hızlı dağıtım için kanıtlanmış kötü niyetli çerçevelere güvenmektedir.
Linux numuneleri, AES, RC4 PRGA, Salsa20 ve Chacha dahil olmak üzere şifreleme algoritmalarının bir karışımını kullanır ve veriler Base64 kodlaması kullanılarak daha da gizlenir.
Buna ek olarak, AWK komutu, gizli operasyonları sağlayan sistem kayıtlarını sorgulamak için kullanılır.
Buna karşılık, .NET kullanılarak derlenen Bert’in Windows varyantı, Winapi aracılığıyla RSA ile dosyaları şifreliyor ve “EncryptedBybert” ve “Encrypted_bert” gibi benzersiz uzantılar ekliyor.
Fidye yazılımı, “Note.txt” adlı özlü bir fidye notunu geride bırakır, diğer suşlarda görülen jenerik adlandırma kurallarından ayrılır.
Gelişmiş şifreleme taktikleri
Raven Dosya Raporuna göre, grubun operasyonel sofistiklığı, http://185.100.157.74/start.ps1 adresinde barındırılan silahlı bir PowerShell betiği kullanarak ilk saldırı vektörüne uzanıyor.
Bu komut dosyası, kayıt defteri girişlerini manipüle ederek Windows Defender, Gerçek Zamanlı Koruma ve Kullanıcı Hesabı Kontrolü (UAC) gibi kritik güvenlik mekanizmalarını devre dışı bırakırken, aynı zamanda bir Rus firması Edinaya Set Limited’e kadar izlenen aynı İsveçli eşlenmiş sunucudan bir kötü amaçlı yük (yük.Exe) indirir.
Bu altyapı seçimi, Bert’in gevşek siber uygulama için bilinen bölgelerde kötü niyetli trafiği harmanlama taktiğini vurgulamaktadır.
Bert’in karanlık ağ varlığı, veri sızıntıları ve mağdur iletişimi için özel soğan alanları ile kolaylaştırılır ve 1.5 BTC talep eden bir müzakere örneği ile kanıtlandığı gibi, tipik olarak Bitcoin’de (BTC) yapılan fidye talepleri ile kolaylaştırılır.
Mağdur verileri, sırayla “Part1”, “Part2” olarak etiketlenmiş fermuarlı arşivlerde sızdırılır.
Coğrafi olarak, Birleşik Devletler birincil hedef olarak liderlik ediyor, ardından İngiltere, Malezya, Tayvan, Kolombiya ve Türkiye izliyor ve saldırı yükünü taşıyan hizmet ve üretim sektörleri.
Bert’in altı Windows EXE dosyası ve iki Linux Elf dosyası dahil olmak üzere kötü amaçlı yazılımlarının örnek analizi, çoğu dosyada kasıtlı zaman damgası manipülasyonunu ortaya çıkarır ve gelecekteki tarihleri algılamadan kaçınmak için 2047 veya 2076 gibi yansıtmaktadır.
Bununla birlikte, bir örnek, grubun yoğunlaştırılmış aktivitesi ile uyumlu olarak 20 Mayıs 2025 tarihli meşru bir zaman damgası taşır.
“Newcryptor.exe” ve “Bert11” gibi dosya adları yaygındır, bu da kötü amaçlı araç setlerinin tutarlı bir markasını gösterir.
Bert, platformlar arası saldırı stratejisini geliştirmeye devam ettikçe, hem kendi kendine kodlanmış Windows yürütülebilir dosyalardan hem de Revil’den türetilmiş Linux yüklerinden yararlandıkça, siber güvenlik ekipleri bu gelişen tehdidi azaltmak için çok katmanlı savunmalara ve sağlam izlemeye öncelik vermelidir.
Grubun çeşitli ortamları uyarlama ve silahlandırma yeteneği, endüstriler arasında artan uyanıklık için acil bir ihtiyaca işaret ediyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin