تهاجم الفدية بيرت المؤسسات الصحية والتكنولوجية حول العالم

برت، مجموعة جديدة للفدية، تهاجم الشركات الصحية والتكنولوجية عالميًا باستخدام برامج ضارة سريعة وخفية تؤثر على أنظمة ويندوز ولينكس.

مجموعة فدية جديدة تُعرف بـ “بيرت” تهاجم المنظمات في جميع أنحاء آسيا وأوروبا والولايات المتحدة، مع ضحايا مؤكدين في قطاعات الرعاية الصحية والتكنولوجيا وخدمات الأحداث، كما أفادت في يوم الاثنين تريند مايكرو.

تم التعرف على “برت” لأول مرة في أبريل، وقد جذبت الانتباه بسبب تطورها السريع وقدرتها على مهاجمة منصات متعددة، بالإضافة إلى روابطها مع مجموعات الفدية القديمة مثل REvil.

تعمل البرمجية الخبيثة على منصتي ويندوز ولينكس من خلال نص برمجي PowerShell يعطل أدوات الأمان قبل تنفيذ تحميل الفدية. يتلقى الضحايا رسالة صريحة: “مرحباً من برت! شبكتك مخترقة وتم تشفير الملفات.”

تصف الباحثات في تريند مايكرو البرمجة التي يستخدمها هذا الفريق بأنها بسيطة ولكنها قوية. على نظام لينكس على سبيل المثال، يمكن أن يستخدم بيرت حتى 50 خيط لتشفير الملفات بسرعة. حتى أنه يقوم بإغلاق الأجهزة الافتراضية ESXi لزيادة الضرر وجعل عملية الاسترجاع أكثر صعوبة. على نظام ويندوز، ينهي العمليات المرتبطة بخوادم الويب وقواعد البيانات قبل تشفير البيانات.

تضيف البرمجة الخبيثة “.encrypted_by_bert” كامتداد للملفات المشفرة، بينما تقوم بإنشاء ملاحظة فدية تتضمن معلومات الدفع. تظهر التحليلات المتعددة أن بيرت في تطور مستمر، حيث تشفر أحدث إصداراته ملفات الفدية مباشرة بعد الكشف عنها بدلاً من جمع مسارات الملفات أولاً.

يعتقد الباحثون أن الفريق قد حصل على كود النسخة الخاصة به من نظام التشغيل Linux من نسخة Linux التابعة لـ REvil بعد تفكيك العصابة الشهيرة في عام 2021. يحتوي الخادم المسجل في روسيا تحت اسم Bert على تعليقات باللغة الروسية تشير إلى احتمال تورط الجهات الفاعلة المحلية، ولكن لم يتم التعرف على أي فريق رسمي حتى الآن.

يحذر الخبراء من أن صعود Bert يسلط الضوء على كيف يمكن أن يكون البرنامج الضار الأساسي خطيرًا عندما يتم ربطه بتقنيات غير مرئية واستهداف استراتيجي.