月份: 2025 年 6 月

自 2025 年 5 月起，新興勒索軟體集團 Dire Wolf（冰原狼） 持續在全球發動針對性攻擊，專挑製造與科技產業下手，並採取「加密 + 外洩」的雙重勒索手法。根據我們的統計，DireWolf 至今已對全球 11 個國家的企業發動攻擊，共計 16 家受害公司。其中，台灣與印度各有 2 家企業遭殃，泰國更有 3 家企業受害，成為目前攻擊數量最多的國家。其餘 9 個國家則各有 1 家企業中招，顯示該勒索組織的攻擊行動已具備跨國擴散趨勢，威脅態勢不容小覷。

真實事件：台灣企業遭鎖定

2025 年 6 月 25 日，竣盟科技發現，Dire Wolf 勒索軟體已將台灣南部某大型企業集團旗下的上市鋼鐵公司列為其受害者。攻擊者已將該公司多達 30GB 的機密資料公開於暗網，顯示該企業目前正面臨嚴重的資料外洩風險，需強化資安防護機制。

事實上，早在同年 5 月下旬，本土保險業者 Kiwi86 即傳出遭 Dire Wolf 鎖定，兩起事件顯示該集團正有系統地針對台灣的產業發動一連串進階攻擊，攻擊行為已具明確區域性與策略性。

程式語言與加密技術：Golang + Curve25519 + ChaCha20

Dire Wolf 的勒索程式是以 Golang 語言撰寫，這對分析人員來說是一大挑戰，因為許多傳統 AV 和靜態分析工具對 Golang 支援仍不完善。

根據Trustwave的報告，Dire Wolf加密邏輯採用：

• Curve25519 公私鑰交換機制
• ChaCha20 流加密演算法
  這種組合提供高速度與強加密強度，是近年勒索軟體常用架構之一。

被加密的檔案副檔名會統一為「.direwolf」，並排除常見系統檔案副檔名（例如 .exe、.dll、.sys 等）以避免影響作業系統運作。

自檢與反取證設計

程式執行時會先檢查是否已加密過受害主機，具體機制為：

• 檢查 C:\runfinish.exe 標記檔
• 是否存在 Global\direwolfAppMutex 的 Mutex（互斥鎖）

若已加密或正在執行中，勒索程式會立即執行自刪命令：

cmd /C timeout /T 3 & del /f /q <self_path> & exit

停用防禦與干擾應用程式

Dire Wolf 的惡意行為模組可分為三大部分：

1. 關閉事件記錄

使用 PowerShell + taskkill 終止 Windows Event Log：

powershell

Get-WmiObject -Class win32_service -Filter “name = ‘eventlog'” | select -exp ProcessId

taskkill /F /PID <PID>

2. 關閉關鍵服務

利用 ControlService() 或 sc stop 停止防毒、備份與資料庫等 75 項服務，範例如：

• MSSQLSERVER
• BackupExecJobEngine
• Sophos, Symantec, Qihoo 360 相關服務

接著使用：

sc config <service-name> start= disabled

徹底停用開機啟動。

3. 終止應用程式

對多達 59 種執行中的應用程式持續執行 taskkill /F /IM 進行強制關閉，包括：

• 辦公室套件（Word、Excel、Outlook）
• 資料庫系統（SQL Server、Oracle）
• 備份軟體（Veeam、BackupExec）
• 一般應用程式（Notepad++、Thunderbird、Steam）

這讓使用者無法備份、回復或即時應對攻擊。

消除痕跡與加強破壞力

勒索程式會執行一系列命令來消除系統回復能力，包括：

vssadmin delete shadows /all /quiet

wbadmin delete backup -keepVersions:0 -quiet

bcdedit /set {default} recoveryenabled No

wevtutil cl system

這些命令會刪除所有陰影複製（快照）、停用備份排程、關閉系統恢復模式，並清除四大 Windows Event Logs（應用程式、系統、安全、安裝）。

客製化勒索通知與談判機制

每個受害者會收到一份客製化勒索信，包含：

• 專屬聊天室登入資訊（Room ID / Username / 密碼）
• Gofile.io 檔案連結（證明已外洩資料）
• 談判期限與付款指示（部分受害者勒索金額高達 $500,000）

這顯示 Dire Wolf 並非「撒網式」RaaS，而是具備高規劃性的 APT 式商業攻擊。

---

【專家建議】防範 Dire Wolf 的關鍵行動建議

儘管目前尚無法完全釐清 Dire Wolf 勒索攻擊的初始入侵途徑，但其高度針對性的行動模式顯示，該攻擊集團具備強大的前期偵察能力與自製惡意工具的技術實力。建議企業即刻啟動下列多層次防禦策略，以有效降低潛在風險：

1. 偵測關鍵勒索行為與指令模式

強化對勒索常見命令的行為監控，例如：

• vssadmin delete shadows
• wbadmin delete backup
• wevtutil cl

這些命令常用於破壞系統還原與備份紀錄，須列入高風險指標加強偵測。

2. 強化備份防護與隔離機制

避免備份遭同步加密或惡意刪除，建議採取：

• 不可變備份（Immutable Backup）：確保資料無法被修改或刪除。
• 離線備援（Air-Gapped Backup）：將備份資料隔離於網路外，防止駭客存取。

3. 監控 Golang 執行檔與異常行為

由於 Dire Wolf 採用 Golang 語言開發，加強針對 .go 或 Golang 編譯型執行檔的異常啟動行為監控，有助於提前辨識可疑程式活動。

4. 導入行為分析與威脅獵捕機制

透過建置零信任架構並導入 UEBA（使用者與實體行為分析）技術，可有效強化身份驗證與行為監控能力。此類機制有助於偵測包括橫向移動、異常帳號活動及系統資源濫用等潛在威脅，彌補傳統資安防護在內部行為辨識上的不足，提升整體威脅可視性與防禦反應速度。

5. 建置誘捕機制（Deception Technology）進行主動偵測

部署誘捕帳號、假資料夾、誘餌伺服器等資安陷阱，有效達成：

• 引誘攻擊者暴露行為
• 強化事前偵測與行為取證
• 延緩攻擊進程爭取應變時間

對於如 Dire Wolf 這類具備橫向滲透與計畫性攻擊能力的團隊，誘捕技術是強化能見度與提升防禦主動性的關鍵手段。

Dire Wolf勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

8fdee53152ec985ffeeeda3d7a85852eb5c9902d2d480449421b4939b1904aad

27d90611f005db3a25a4211cf8f69fb46097c6c374905d7207b30e87d296e1b3

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.tech , 以免觸法”

2025 年，勒索軟體攻擊正加速向跨平台與模組化方向演進。而新興威脅團體 BERT，正以驚人的部署效率與攻擊技術，成為全球資安社群高度關注的新焦點。

該團體於 2025 年 4 月首次被揭露，實際活動可追溯至 3 月中旬。最初以攻擊 Windows 為主的 BERT，如今已將戰線延伸至 Linux 環境。自 5 月起，其開始大量部署 武裝化的 ELF 執行檔（Executable and Linkable Format），發動對企業伺服器的精密攻擊，進一步展現其橫跨作業系統的攻擊能力。

---

掃描攻擊模式：從 Windows 到 Linux 的全面滲透

BERT 的 Linux 版本展現高度成熟的惡意設計。根據THE RAVEN FILE的分析，其程式碼與 REvil（Sodinokibi）勒索軟體重疊率高達 80%，顯示該團體有意重用成熟的攻擊架構，加快惡意工具的武器化週期。

其 Linux 樣本混合使用 AES、RC4 PRGA、Salsa20、ChaCha 等加密演算法，加上 Base64 編碼進行資料混淆。為強化隱匿性，攻擊程序還結合 AWK 指令查詢系統環境資訊，顯示 BERT 對 Linux 系統結構具備高度掌握。

---

Windows 工具：品牌化與強化滲透手法

BERT 的 Windows 工具同樣展現高度客製化。該團體利用 .NET 架構開發勒索程式，透過 WinAPI 執行 RSA 加密，並將加密檔案加註特製副檔名，如 encryptedbybert、encrypted_bert，反映其品牌化經營手法。

部署上，BERT 透過一支 PowerShell 指令碼（185.100.157.74/start.ps1）進行初始滲透，首先關閉 Windows Defender、RTP 即時防護與使用者帳戶控制（UAC），再下載惡意程式 payload.exe。該伺服器所屬 IP 映射至瑞典，最終基礎設施則與俄羅斯公司 Edinaya Set Limited 有關，突顯 BERT 選擇在執法鬆散區域運營其攻擊基礎設施。

---

暗網操作與資料外洩流程

BERT 在暗網上設有專屬 Onion 網站，用於洩漏資料與與受害者進行談判。贖金多以特幣（BTC）收取，曾有樣本金額高達 1.5 BTC（約480台幣）。其洩漏資料以壓縮分段檔案形式呈現，如 part1.zip、part2.zip 等，儲存在使用 Apache/2.4.52（Ubuntu）的伺服器上。

從攻擊範圍來看，美國是最主要受害國，其次為英國、馬來西亞、台灣、哥倫比亞與土耳其，目標產業集中於 製造業與服務業。值得注意的是，BERT 常透過偽造時間戳記（如設定為 2047 或 2076 年）來迴避檔案行為分析偵測。

---

資安建議：如何應對 BERT 的跨平台進化？

BERT 的策略顯示出未來勒索攻擊不再侷限於單一平台，而是透過模組化、品牌化與基礎架構多國化來提升隱蔽性與擴散速度。建議企業即刻強化下列資安措施：

多層次防禦體系建構
部署端點偵測與回應（EDR）、威脅獵捕、勒索備份還原系統（immutable backup）等防線，避免單點失守導致橫向擴散。

定期修補與環境硬化
落實 Windows 與 Linux 系統漏洞管理，特別針對 PowerShell、.NET 執行環境與 ELF 檔執行權限進行嚴格控管。

強化員工資安意識
導入定期訓練課程，教育使用者辨識釣魚信件、社交工程與常見攻擊行為，以降低初始滲透成功率。

即時網路行為監控與封鎖
導入 DNS Filtering 與行為型 IPS/IDS，主動偵測並封鎖來自高風險地區（如瑞典 IP、俄羅斯註冊網域）的可疑流量。

導入欺敵技術（Deception Technology）
建立誘餌帳號、假目錄與仿真服務器等陷阱資產，可有效誘使攻擊者暴露行動，提前觸發預警。這類技術特別適合偵測像 BERT 這類擅長橫向移動與潛伏的高隱匿型攻擊行為。

---

結語

BERT 正代表著勒索軟體的新世代：跨平台、即服務化、品牌經營化。其武器庫涵蓋自建與重用組合，靈活滲透多樣環境，快速部署攻擊。對企業而言，資安防線必須從傳統防毒升級為整合「技術、流程與人員意識」的 立體防禦策略，方能在此混合型威脅浪潮中穩住防線。

BERT勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

71dc9540eb03f2ed4d1b6496b13fe839

00fdc504be1788231aa7b7d2d1335893

d1013bbaa2f151195d563b2b65126fa3

3e581aad42a2a9e080a4a676de42f015

edec051ce461d62fbbd3abf09534b731

5cab4fabffeb5903f684c936a90e0b46

003291d904b89142bada57a9db732ae7

29a2cc59a9ebd334103ce146bca38522

38ce06bf89b28ccebf5a78404eb3818e