Ransomware-Gruppe BERT attackiert Unternehmen in Asien und Europa auf breiter Front

Die noch relativ junge Ransomware-Gruppe BERT, auch bekannt unter dem Namen Water Pombero (Bezeichnung von Trend Micro), sorgt derzeit in mehreren Weltregionen für Aufsehen. Die Angreifer zielen sowohl auf Windows- als auch Linux-Systeme ab und haben bereits Unternehmen in Asien, Europa und den USA kompromittiert – vor allem in den Branchen Gesundheitswesen, Technologie und Veranstaltungsdienstleistungen.

BERT folgt einem bekannten Muster, das bei neu auftretenden Ransomware-Gruppen immer häufiger zu beobachten ist: Die Kombination aus bekannten Tools, recyceltem Code und schrittweise verfeinerten Angriffstechniken ermöglicht auch technisch weniger aufwendigen Gruppen, hochwirksame Attacken durchzuführen. Wie Trend Micro betont, zeigt BERT exemplarisch, dass es nicht zwangsläufig komplexer Malware bedarf, um erfolgreich zu sein – ein effektiver Angriffsweg vom initialen Eindringen bis zur Datenexfiltration reicht aus.

Technisch setzt die Gruppe auf PowerShell-basierte Loader, Methoden zur Eskalation von Benutzerrechten sowie auf parallele Dateiverschlüsselung, um ihre Attacken effizient durchzuführen und gleichzeitig Sicherheitsmechanismen zu umgehen. Die Linux-Variante der Ransomware ist dabei besonders leistungsfähig: Sie kann bis zu 50 Threads zur gleichzeitigen Verschlüsselung nutzen und gezielt virtuelle Maschinen auf VMware ESXi-Systemen abschalten – ein klarer Versuch, Wiederherstellungsmaßnahmen zu behindern.

Die Sicherheitsplattform Trend Vision One erkennt und blockiert bekannte Indikatoren für eine Kompromittierung (IOCs) im Zusammenhang mit BERT. Nutzern stehen darüber hinaus spezifische Suchabfragen, Bedrohungsanalysen und aktuelle Reports zur Verfügung, um potenzielle Angriffe frühzeitig zu erkennen und abzuwehren.

BERT auf Windows-Systemen

Die Ransomware-Gruppe BERT verwendet in ihrer Windows-Variante eine einfache Codestruktur. Sie nutzt bestimmte Zeichenfolgen, um bestimmte Prozesse zu identifizieren und zu beenden.

Beenden von Prozessen, die mit Webservern, Datenbanken und anderen kritischen Diensten verbunden sind / Quelle: Trend Micro

Der öffentliche Schlüssel, die Dateiendung und die Lösegeldforderung sind leicht zugänglich. Außerdem werden Dateien mit dem Standard-AES-Algorithmus verschlüsselt.

Lösegeldforderung und Konfigurationsdetails der Windows-Variante / Quelle: Trend Micro

Trend Micro: BERT-Ransomware wird aktiv weiterentwickelt

Sicherheitsforscher von Trend Micro haben Aktivitäten der BERT-Ransomware in freier Wildbahn beobachtet. Bei ihrer Analyse stießen sie auf mehrere ältere Versionen der Schadsoftware, die öffentlich hochgeladen worden waren. Diese Varianten unterschieden sich deutlich von den fortgeschritteneren Samples, die über interne Telemetriedaten gesammelt wurden. Insbesondere fehlten ihnen aktualisierte Verschlüsselungsmethoden und komplexe Funktionsabläufe – ein Hinweis darauf, dass die Angreifer ihre Malware kontinuierlich weiterentwickeln.

Im Rahmen der Untersuchung entdeckten die Forscher auch ein PowerShell-Skript mit dem Namen start.ps1, das als Loader für die Ransomware-Komponente payload.exe dient. Das Skript eskaliert Berechtigungen, deaktiviert Schutzmechanismen wie Windows Defender, Firewall und Benutzerkontensteuerung (UAC) und lädt anschließend die Schadsoftware von einer externen IP-Adresse herunter (185[.]100[.]157[.]74), um sie auszuführen.

Diese IP-Adresse ist dem in Russland registrierten ASN 39134 zugeordnet. Auch wenn dies keinen eindeutigen Rückschluss auf die Urheber zulässt, weist die Nutzung russischer Infrastruktur auf eine mögliche Verbindung zu dort ansässigen oder agierenden Bedrohungsakteuren hin.

Besonders auffällig: Das Skript nutzt den PowerShell-Befehl Start-Process mit dem Parameter -Verb RunAs, um die Ransomware mit Administratorrechten zu starten. Dies könnte darauf hindeuten, dass die Angreifer bereits eingeschränkten Zugriff auf ein System haben und versuchen, diesen auf vollständige Kontrolle auszuweiten.

Der offen zugängliche Verzeichnisinhalt der genannten IP-Adresse enthält sowohl das Skript als auch die Payload-Datei – inklusive Zeitstempeln, Dateigrößen und Serverinformationen. Diese öffentlich erreichbare Infrastruktur dient offenbar als Ausgangspunkt für die Bereitstellung der BERT-Komponenten.

Ein zentrales Merkmal der Gruppe ist die konsequente Nutzung legitimer Windows-Werkzeuge wie PowerShell – sowohl zur Umgehung von Sicherheitsmaßnahmen als auch zur Eskalation von Rechten und zum Nachladen der Malware.

„Unternehmen sollten den Missbrauch von PowerShell und die Ausführung nicht autorisierter Skripte genau überwachen – insbesondere Loader wie start.ps1, die gezielt Schutzfunktionen deaktivieren und Rechte erweitern“, mahnen die Trend-Micro-Forscher.

Quelle: Trend Micro

---