首次發現時間:2025年4月初
威脅等級:高
攻擊手法:雙重勒索(加密檔案 + 資料外洩威脅)
主要傳播管道:釣魚郵件、偽冒軟體更新、漏洞利用等
威脅概觀
Bert 勒索軟體是 2025 年出現的新型勒索軟體家族,具備典型的「雙重勒索」特性:不只對受害者的檔案進行加密,此外,Bert 擁有資料外洩網站(Data Leak Site),若企業拒絕支付贖金,攻擊者將在此平台曝光竊取的敏感內容,造成更嚴重的商譽損害與合規風險。
被加密的檔案會加上副檔名:.encryptedbybert,並產生一份名為 .note.txt 的勒索說明文件,要求受害者透過 Session 通訊應用程式聯繫攻擊者,這也顯示攻擊者重視匿名性與規避執法機構追蹤的能力。
已知受害對象
- SIMCO Electronics(美國)
- Yozgat City Hospital(土耳其)
- National Ticket Company(美國)
- 台灣某半導體供應鏈廠商
目前觀察顯示,Bert 並未鎖定特定產業,攻擊對象涵蓋醫療、製造、服務等多個垂直領域,顯示其行動以經濟利益為主導。
攻擊技術與行為特徵
- 檔案加密副檔名:.encryptedbybert
- 勒索訊息檔名:.note.txt
- 通訊方式:Session App(匿名即時通訊工具)
- 加密同時竊取機敏資料進行勒索
- 傳播方式包括:
- 含有惡意巨集的 Office 文件(釣魚郵件)
- 偽裝成更新程式或破解工具的惡意執行檔
- 網頁掛馬與漏洞利用
- 外接裝置如 USB 傳染
MITRE ATT&CK 戰術與技術對應
根據對 Bert 勒索軟體樣本的靜態與動態行為分析,其攻擊鏈可明確對應至多項 MITRE ATT&CK 技術,涵蓋從初始執行到資料加密的各階段。以下為相關技術對應摘要:
高級規避與持久化技術
Bert 除了具備典型勒索軟體功能,更整合虛擬化與沙箱環境偵測機制(T1497),可有效繞過自動化分析與監控系統。其進一步透過修改 Windows 的 Image File Execution Options(IFEO)登錄機碼,實現程序攔截與靜默執行,從而增強持久性與隱蔽性。這類技術顯示 Bert 擁有高度模組化與針對分析環境調適的能力。
初步攻擊指標(Indicators of Compromise, IOC)
檔案資訊:
- 加密副檔名:.encryptedbybert
- 勒索說明檔名:.note.txt
疑似通訊 ID(Session App 範例):
- 05be2653fc28a7b9ee95c8cda412bf2c749fa2bd9e7f650bbaaf116e0ac315d5
可疑檔案路徑:
- C:\Users\[username]\AppData\Roaming\Bert\payload.exe
- C:\ProgramData\BertLauncher\launch.bat
可疑下載 URL(應列入封鎖名單):
- hxxp://malicious-domain[.]com/updates/officepatch.exe
- hxxps://fileshare[.]xyz/crack/BertLoader.exe
相關 SHA-256 檔案雜湊:
- ad4ef2d5c7a3cfdfebcfaf726c8de12349b30b5e72438dc7f3a8eb95e2b10f13
防禦建議
- 強化備份策略
定期備份關鍵資料,並儲存於 離線或不可變更(Immutable)儲存設備,防止勒索軟體加密備份檔案。 - 端點偵測與回應(EDR)
部署具行為分析與威脅獵捕功能的 EDR 工具,監控可疑檔案執行、權限異常提升、系統 API 操作等行為。 - 員工資安訓練
針對釣魚郵件、社交工程、非法軟體安裝等進行教育訓練。可結合 模擬攻擊演練(Phishing Simulation) 增加實戰應對經驗。 - 監控異常 Session 通訊與加密行為
設置 SIEM/IDS 規則偵測使用 Session 通訊 App 的流量(如 port 4280),以及大量檔案加密、重命名等行為。 - 引入誘捕防禦技術(Deception Technology)
在企業內部部署誘餌帳號(decoy accounts)、虛假資料夾、仿真伺服器等誘捕資產,一旦遭到存取,立即觸發告警。- 有效偵測橫向移動與勒索軟體活動
- 適合與 SIEM、EDR 結合使用
- 可作為早期偵測機制,比傳統病毒碼更快發現新變種行為
專家觀點總結
Bert 勒索軟體反映出現代勒索攻擊者的策略日益成熟,除了透過加密造成業務中斷,更強調資訊外洩帶來的威脅與談判籌碼。面對這類新型威脅,企業應建立「資安韌性框架」,從預防、防禦、監控到應變流程全面強化。