L’article publié par Trend Micro le 7 juillet 2025 met en lumière l’émergence du groupe de ransomware BERT, qui cible principalement les systèmes Windows et Linux en Asie et en Europe.
BERT utilise des tactiques telles que des loaders basés sur PowerShell, l’escalade de privilèges, et le chiffrement simultané des fichiers pour exécuter des attaques efficaces. Sur les systèmes Linux, le ransomware peut utiliser jusqu’à 50 threads pour accélérer le chiffrement et peut forcer l’arrêt des machines virtuelles ESXi pour maximiser l’impact.
Les analyses ont révélé que le groupe utilise un script PowerShell (start.ps1) pour télécharger et exécuter le ransomware depuis une adresse IP associée à la Russie, bien que cela n’établisse pas une attribution directe. Les variantes de BERT évoluent, avec des améliorations dans le processus de chiffrement multi-threadé.
Les indicateurs de compromission (IoC) incluent plusieurs signatures de fichiers et une adresse IP de téléchargement :
- SHA256 : 1ef6c1a4dfdc39b63bfe650ca81ab89510de6c0d3d7c608ac5be80033e559326
- IP : 185.100.157.74
Les techniques, tactiques et procédures (TTPs) observées incluent l’utilisation de PowerShell pour l’exécution, la désactivation des défenses, et la découverte de fichiers et de machines virtuelles.
Cet article est une analyse technique détaillée des méthodes et outils utilisés par le groupe BERT, visant à informer sur les menaces émergentes et à aider à la défense contre ces attaques.
🧠 TTPs et IOCs détectés
TTP
Utilisation de PowerShell pour l’exécution, désactivation des défenses, découverte de fichiers et de machines virtuelles, chiffrement multi-threadé, arrêt des machines virtuelles ESXi
IOC
SHA256: 1ef6c1a4dfdc39b63bfe650ca81ab89510de6c0d3d7c608ac5be80033e559326, IP: 185.100.157.74
🔗 Source originale : https://www.trendmicro.com/en_us/research/25/g/bert-ransomware-group-targets-asia-and-europe-on-multiple-platforms.html