“단순하지만 빠르다”, 요즘 사이버 범죄 트렌드를 가장 잘 보여주는 랜섬웨어가 나타났어요.
이름은 Water Pombero, 또는 Bert로 불리며, 단순한 코드 구조에도 불구하고
Windows와 Linux 양쪽에서 거의 즉시 데이터를 암호화할 수 있을 정도로 빠르고 강력합니다.
이 랜섬웨어의 특징은 바로 “다중 스레딩(multithreading)”을 적극 활용한다는 점인데요,
덕분에 감염된 시스템은 대응할 시간도 없이 마비되고 말아요 😱
💻 Bert, 어디를 노리고 있나?
Bert는 2025년 4월부터 헬스케어, 이벤트, 기술 산업을 중심으로
미국과 아시아 지역을 타깃으로 등장했어요. 이후 유럽, 중동, 아프리카 등
다양한 지역으로 퍼지며 피해를 확산시키고 있습니다.
📍 주 타깃 산업
- 병원 및 의료기관
- IT 서비스 업체
- 가상화 인프라가 많은 기업
이 랜섬웨어는 코드 자체는 그리 정교하지 않지만,
정교한 실행 흐름과 속도로 무장해 놀라운 파괴력을 보입니다.
🧠 Bert의 핵심 무기: 멀티스레딩 + 빠른 실행
📌 Windows 버전
- PowerShell 기반으로 작동
- 감염 후 권한 상승(Privilege Escalation) 시도
- Windows Defender, 방화벽, UAC 비활성화
- 전체 디스크를 탐색 후 모든 폴더에 랜섬노트 저장
- 최신 버전은 ConcurrentQueue와 DiskWorker를 이용해
파일이 발견되는 즉시 바로 암호화 시작
즉, 이전에는 파일 경로를 모두 수집 후 암호화했다면,
이제는 발견 즉시 암호화로 전환하여 훨씬 빨라졌습니다 😨
📌 Linux 버전
- 최대 50개의 스레드를 활용해 파일을 병렬 암호화
- VMware ESXi 가상머신을 강제로 종료해서 복구를 어렵게 함
- 실행 시 -dir, -thread, -silent 같은 명령어 인자 사용 가능
- 명령어 인자 없이 실행 시, 모든 VM을 다운시킴
🐧 왜 Linux 버전이 더 위협적인가?
리눅스는 서버 운영환경에서 매우 많이 사용되기 때문에,
Linux용 랜섬웨어는 클라우드 인프라나 기업 서버 전체를 인질로 잡는 효과가 있어요.
특히 VMware ESXi를 사용하는 가상화 환경에서
Bert는 관리자 권한만 획득하면:
- 가상 머신 전체 종료
- 파일 실시간 암호화
- 백업 중지
- 재해복구(BCP)도 무력화
이렇게 완벽하게 인프라 전체를 마비시킬 수 있습니다.
Bert는 단순하지만 강력한 파괴력을 가진 “기습형” 랜섬웨어예요.
📡 초기 침투 경로는 아직 미확인
Trend Micro 분석에 따르면, Bert의 초기 침투 경로는 확인되지 않았지만,
감염 후 흐름은 다음과 같습니다:
- PowerShell 스크립트 다운로드 및 실행
- 관리자 권한 획득
- 보안 솔루션 종료 (Defender, UAC 등)
- 파일 검색 및 멀티스레드 암호화 시작
- 각 폴더에 랜섬노트 생성
Linux 쪽에서도 비슷한 방식이지만,
더 빠른 속도와 더 강한 공격력으로 실행됩니다.
🧩 다른 랜섬웨어와의 차이점은?
Bert는 다음과 같은 최신 랜섬웨어들과 유사하지만,
속도와 간결함 측면에서 독보적인 특징이 있어요.
| 랜섬웨어 | 주요 특징 |
| LockBit 3.0 | 하이브리드 암호화 |
| BlackCat (ALPHV) | 러스트 기반, 복잡한 암호화 |
| Akira | VPN 취약점 타깃, 커스터마이징 용이 |
| Bert | 단순 코드, 최대 50스레드, 초고속 암호화, 가상환경 파괴 |
사이버 범죄 최적화 랜섬웨어라고 볼 수 있습니다.
🛡️ 우리가 할 수 있는 대응 방안
✅ 서버 환경 점검
- VMware ESXi 보안 설정 강화 (관리 포트 접근 제한)
- PowerShell 실행 정책 제한
- 정책 기반 보안 솔루션으로 관리자 권한 사용 감시
✅ 멀티스레딩 기반 암호화 탐지
- 백업 시스템에서 과도한 IO, 스레드 사용량 급증 감지
- 파일 변경 이벤트를 기반으로 한 비정상 파일 암호화 탐지
✅ EDR/XDR 솔루션 내 Bert 시그니처 추가
- ConcurrentQueue, DiskWorker 기반 활동 탐지 룰 생성
- 의심 IP 접속 차단 (예: 러시아 IP 접속 로그 분석)
'CyberSecurity > Security🔐' 카테고리의 다른 글
| 🛑 NordDragonScan 정보탈취 악성코드 주의보! Windows 사용자는 지금 확인하세요 (0) | 2025.07.08 |
|---|---|
| ⚠️ Grafana 플러그인 취약점 4종 긴급 패치! 지금 바로 업데이트하세요 (2) | 2025.07.08 |
| 🍎 북에서 온 사이버 위협! macOS까지 뚫린 'NimDoor' 공격 (2) | 2025.07.03 |
| 🎯 패치도 공격이다? 중국 연계 해커 ‘Houken’의 충격적 전략! (0) | 2025.07.03 |
| 🔐 크롬과 파이어폭스, 동시에 뚫렸다! 브라우저 보안 위협 경보 🚨 (2) | 2025.07.02 |