BERT: новая вымогательская группировка атакует бизнес по всему миру

Весной 2025 года специалисты зафиксировали активность неизвестной ранее киберпреступной группировки, получившей название BERT (она же Water Pombero). Несмотря на незамысловатый инструментарий, злоумышленники уже успели атаковать организации в США, Европе и Азии — особенно в сферах здравоохранения, ИТ и event-индустрии.

Главная особенность BERT — одновременные атаки на Windows- и Linux-системы. Их вредонос отличается высокой скоростью шифрования и настойчивостью: на Linux-серверах используется агрессивный подход с запуском десятков потоков, отключением виртуальных машин и быстрым захватом файлов. Каждому зашифрованному объекту присваивается характерное окончание — .encrypted_by_bert, а жертва получает уведомление с требованиями.

На Windows-устройствах вредонос ведёт себя иначе: сначала отключает защиту, включая Defender и контроль учётных записей, затем завершает работу критичных служб — баз данных, серверов и других. Шифрование выполняется алгоритмом AES, после чего оставляется записка для жертвы.

Одним из ключевых компонентов атаки является PowerShell-скрипт, скачивающий основной файл с сервера, предположительно размещенного в российском сегменте интернета. Хотя это не доказывает происхождение BERT, наличие русскоязычных комментариев в коде и открытых директорий указывает на определенную небрежность — типичную для начинающих групп.

Исследователи отмечают, что BERT не создаёт ничего принципиально нового: его код во многом заимствован у уже известных шифровальщиков вроде REvil и Babuk. Однако внедрение параллельной обработки через структуру ConcurrentQueue делает атаку более быстрой и трудной для обнаружения.