베르트 랜섬웨어, 전 세계 헬스케어와 테크 회사를 공격

버트(Bert), 새로운 랜섬웨어 그룹이 전 세계의 의료 및 기술 회사를 공격하고 있습니다. 이 그룹은 빠르고 은밀하게 움직이는 악성 소프트웨어를 통해 윈도우와 리눅스 시스템 모두에 영향을 미치고 있습니다.

“버트”라는 새로운 랜섬웨어 그룹이 아시아, 유럽, 미국의 다양한 기관을 공격하고 있습니다. 월요일에 트렌드 마이크로가 보고한 바에 따르면, 확인된 피해 기관으로는 의료, 기술, 이벤트 서비스 등이 있습니다.

4월에 처음으로 발견된 베르트(Bert)는 빠른 발전과 여러 플랫폼을 공격할 수 있는 능력, 그리고 REvil과 같은 이전의 랜섬웨어 그룹과의 연관성으로 주목받고 있습니다.

이 멀웨어는 보안 도구를 비활성화하는 PowerShell 스크립트를 통해 Windows와 Linux 플랫폼에서 모두 작동하며, 랜섬웨어 다운로드를 실행합니다. 피해자들은 무례한 메시지를 받게 됩니다: “베르트가 인사드립니다! 당신의 네트워크는 해킹당했고 파일들이 암호화되었습니다.”

트렌드 마이크로의 연구원들은 이 그룹의 코드를 기본적이면서도 강력하다고 설명합니다. 예를 들어 Linux에서는 Bert가 최대 50개의 스레드를 사용해 파일을 빠르게 암호화할 수 있습니다. 심지어는 ESXi 가상 머신을 중단시켜 피해를 극대화하고 복구를 더 어렵게 만듭니다. Windows에서는 웹 서버와 데이터베이스에 연결된 프로세스를 종료한 후 데이터를 암호화합니다.

이 랜섬웨어는 암호화된 파일에 “.encrypted_by_bert”라는 파일 확장자를 추가하며, 결제 정보가 포함된 랜섬 노트를 생성합니다. 여러 샘플의 분석 결과, Bert는 지속적으로 개발 중이며, 최신 버전에서는 파일 경로를 먼저 수집하는 대신 감지 즉시 랜섬웨어 파일을 암호화한다는 것을 보여줍니다.

연구자들은 이 그룹이 악명 높은 갱단 REvil이 2021년에 해체된 후 REvil의 리눅스 버전에서 리눅스 변형 코드를 얻었다고 생각합니다. 러시아에 등록된 Bert 서버에는 러시아어 코멘트가 포함되어 있어 지역적인 배우들의 가능한 참여를 암시하지만, 아직 공식적으로 확인된 그룹은 없습니다.

전문가들은 Bert의 부상이 기본적인 악성 소프트웨어조차도 은밀한 기술과 전략적인 타겟팅과 결합할 때 얼마나 위험할 수 있는지를 경고하고 있습니다.