BERT(又被趨勢科技稱作Water Pombero)於2025年4月首次被發現,是一種具備跨平台能力的勒索軟體,主要針對Windows和Linux環境發動攻擊。根據目前掌握的資訊,BERT勒索軟體的攻擊活動主要集中在亞洲與歐洲地區,受害對象則以醫療產業、科技公司以及事件管理服務等領域為主。
相關文章: 新型勒索軟體「Bert」鎖定醫療與科技業,跨國攻擊威脅升級
BERT最早針對Windows平台發起攻擊,透過PowerShell Loader(如 start.ps1)取得初始存取,接著提升系統權限並停用 Windows Defender、防火牆及 UAC,再從遠端IP位址下載並執行勒索軟體,後續開始加密檔案,並加上「.encryptedbybert」副檔名,同時留下解密通知,如圖1所示。
圖1:BERT勒索軟體在Windows的加密文件。圖片來源:TREND
近期,BERT勒索軟體進一步改良與精進,推出針對Linux系統的新變體。此版與知名勒索軟體Revil(Sodinokibi)在程式碼高達80%的相似度,顯示其技術來源與演進脈絡密切相關。BERT的技術特色包含可同時啟動50個CPU執行緒以提升加密效率,進而降低被偵測或中斷的風險,此外,還會強制關閉目標虛擬機的運作,以確保加密過程的完整性。完成加密後,所有檔案將被加上副檔名「.encrypted_by_bert」,如圖2所示。
圖2:BERT勒索軟體在Linux的加密文件。圖片來源:TREND
另外,BERT勒索軟體程式內部包含一組JSON配置檔,其中含公鑰 (pk)、Base64 編碼的勒索信等詳細資料。這是現代勒索軟體常見的經典特徵,透過此方式,攻擊者可靈活針對不同場景進行調整與自訂。
為有效防範勒索軟體攻擊,建議可採取以下幾項關鍵措施:
- 定期進行備份資料,並將備份儲存在與主要系統隔離的地方,如外部硬碟或雲端儲存空間。
- 確保所有設備的作業系統與應用程式都保持在最新版本,藉此修補可能被駭客利用的安全漏洞。
- 透過教育訓練提升使用者的安全意識,提升對可疑郵件和網路詐騙的辨識能力,有助於減少人為失誤所造成的風險。
- 落實最小權原則,限制帳號權限以防止勒索軟體擴散至整個系統。
- 組織或企業應部屬多層次的資安防護,例如防毒軟體、防火牆以及入侵偵測系統,以提高整體防禦能力。
- 建立完整的資安事件應變計畫,並定期進行演練,有助在遭受攻擊時可快速反應,有效控管災損並儘速恢復正常運作。
以下是趨勢科技提供BERT勒索軟體的IoC:
1ef6c1a4dfdc39b63bfe650ca81ab89510de6c0d3d7c608ac5be80033e559326
70211a3f90376bbc61f49c22a63075d1d4ddd53f0aefa976216c46e6ba39a9f4
75fa5b506d095015046248cf6d2ec1c48111931b4584a040ceca57447e9b9d71
8478d5f5a33850457abc89a99718fc871b80a8fb0f5b509ac1102f441189a311
b2f601ca68551c0669631fd5427e6992926ce164f8b3a25ae969c7f6c6ce8e4f
bd2c2cf0631d881ed382817afcce2b093f4e412ffb170a719e2762f250abfea4
c7efe9b84b8f48b71248d40143e759e6fc9c6b7177224eb69e0816cc2db393db
hxxp://185[.]100[.]157[.]74/payload[.]exe
本文轉載自TWCERT/CC。