Image by Rohan, from Unsplash
Il Ransomware Bert Colpisce le Aziende Sanitarie e Tecnologiche in tutto il Mondo
Tempo di lettura: 2 Min.
Ultimo aggiornamento: Jul 8, 2025
-
![Kiara Fabbri]()
-
![Il team di localizzazione e traduzione]()
Tradotto da Il team di localizzazione e traduzione Servizi di localizzazione e traduzione
Bert, un nuovo gruppo di ransomware, sta attaccando a livello globale aziende sanitarie e tecnologiche con un malware veloce e stealth, che colpisce sia i sistemi Windows che Linux.
Hai fretta? Ecco i fatti essenziali:
- Bert crittografa sia i sistemi Windows che Linux con esecuzione multi-thread.
- Disabilita gli strumenti di sicurezza utilizzando PowerShell prima di eseguire il payload.
- Le versioni più recenti criptano i file istantaneamente, migliorando velocità e danni.
Un nuovo gruppo di ransomware noto come “Bert” sta attaccando organizzazioni in tutta l’Asia, l’Europa e gli Stati Uniti, con vittime confermate nei settori sanitario, tecnologico e dei servizi per eventi, come riportato lunedì da Trend Micro.
Identificato per la prima volta in aprile, Bert ha attirato l’attenzione per il suo rapido sviluppo e la sua capacità di attaccare diverse piattaforme, oltre ai legami con gruppi di ransomware più vecchi come REvil.
Il malware opera sia su piattaforme Windows che Linux tramite uno script PowerShell che disabilita gli strumenti di sicurezza prima di eseguire il download del ransomware. Le vittime ricevono un messaggio brusco: “Ciao da Bert! La tua rete è stata hackerata e i file sono stati criptati.”
I ricercatori di Trend Micro descrivono il codice del gruppo come semplice ma potente. Su Linux, ad esempio, Bert può utilizzare fino a 50 thread per crittografare i file rapidamente. Addirittura, arresta le macchine virtuali ESXi per massimizzare il danno e rendere più difficile il recupero. Su Windows, termina i processi legati ai server web e ai database prima di criptare i dati.
Il ransomware aggiunge “.encrypted_by_bert” come estensione di file ai file criptati, mentre crea una nota di riscatto che include le informazioni di pagamento. L’analisi di vari campioni dimostra che Bert è in continua evoluzione, dove le sue ultime versioni criptano i file del ransomware immediatamente dopo il rilevamento invece di raccogliere prima i percorsi dei file.
Gli ricercatori ritengono che il gruppo abbia ottenuto il loro codice di variante Linux dalla versione Linux di REvil dopo che la famigerata gang è stata smantellata nel 2021. Il server Bert registrato in Russia contiene commenti in lingua russa che suggeriscono un possibile coinvolgimento di attori regionali, ma non è stato identificato alcun gruppo ufficiale.
Gli esperti avvertono che l’ascesa di Bert evidenzia come anche il malware più basilare possa essere pericoloso quando abbinato a tecniche furtive e un targeting strategico.
Storia precedente
Ultimi articoli 
