2025 年,勒索軟體攻擊正加速向跨平台與模組化方向演進。而新興威脅團體 BERT,正以驚人的部署效率與攻擊技術,成為全球資安社群高度關注的新焦點。
該團體於 2025 年 4 月首次被揭露,實際活動可追溯至 3 月中旬。最初以攻擊 Windows 為主的 BERT,如今已將戰線延伸至 Linux 環境。自 5 月起,其開始大量部署 武裝化的 ELF 執行檔(Executable and Linkable Format),發動對企業伺服器的精密攻擊,進一步展現其橫跨作業系統的攻擊能力。
掃描攻擊模式:從 Windows 到 Linux 的全面滲透
BERT 的 Linux 版本展現高度成熟的惡意設計。根據THE RAVEN FILE的分析,其程式碼與 REvil(Sodinokibi)勒索軟體重疊率高達 80%,顯示該團體有意重用成熟的攻擊架構,加快惡意工具的武器化週期。
其 Linux 樣本混合使用 AES、RC4 PRGA、Salsa20、ChaCha 等加密演算法,加上 Base64 編碼進行資料混淆。為強化隱匿性,攻擊程序還結合 AWK 指令查詢系統環境資訊,顯示 BERT 對 Linux 系統結構具備高度掌握。
Windows 工具:品牌化與強化滲透手法
BERT 的 Windows 工具同樣展現高度客製化。該團體利用 .NET 架構開發勒索程式,透過 WinAPI 執行 RSA 加密,並將加密檔案加註特製副檔名,如 encryptedbybert、encrypted_bert,反映其品牌化經營手法。
部署上,BERT 透過一支 PowerShell 指令碼(185.100.157.74/start.ps1)進行初始滲透,首先關閉 Windows Defender、RTP 即時防護與使用者帳戶控制(UAC),再下載惡意程式 payload.exe。該伺服器所屬 IP 映射至瑞典,最終基礎設施則與俄羅斯公司 Edinaya Set Limited 有關,突顯 BERT 選擇在執法鬆散區域運營其攻擊基礎設施。
暗網操作與資料外洩流程
BERT 在暗網上設有專屬 Onion 網站,用於洩漏資料與與受害者進行談判。贖金多以特幣(BTC)收取,曾有樣本金額高達 1.5 BTC(約480台幣)。其洩漏資料以壓縮分段檔案形式呈現,如 part1.zip、part2.zip 等,儲存在使用 Apache/2.4.52(Ubuntu)的伺服器上。
從攻擊範圍來看,美國是最主要受害國,其次為英國、馬來西亞、台灣、哥倫比亞與土耳其,目標產業集中於 製造業與服務業。值得注意的是,BERT 常透過偽造時間戳記(如設定為 2047 或 2076 年)來迴避檔案行為分析偵測。
資安建議:如何應對 BERT 的跨平台進化?
BERT 的策略顯示出未來勒索攻擊不再侷限於單一平台,而是透過模組化、品牌化與基礎架構多國化來提升隱蔽性與擴散速度。建議企業即刻強化下列資安措施:
多層次防禦體系建構
部署端點偵測與回應(EDR)、威脅獵捕、勒索備份還原系統(immutable backup)等防線,避免單點失守導致橫向擴散。
定期修補與環境硬化
落實 Windows 與 Linux 系統漏洞管理,特別針對 PowerShell、.NET 執行環境與 ELF 檔執行權限進行嚴格控管。
強化員工資安意識
導入定期訓練課程,教育使用者辨識釣魚信件、社交工程與常見攻擊行為,以降低初始滲透成功率。
即時網路行為監控與封鎖
導入 DNS Filtering 與行為型 IPS/IDS,主動偵測並封鎖來自高風險地區(如瑞典 IP、俄羅斯註冊網域)的可疑流量。
導入欺敵技術(Deception Technology)
建立誘餌帳號、假目錄與仿真服務器等陷阱資產,可有效誘使攻擊者暴露行動,提前觸發預警。這類技術特別適合偵測像 BERT 這類擅長橫向移動與潛伏的高隱匿型攻擊行為。
結語
BERT 正代表著勒索軟體的新世代:跨平台、即服務化、品牌經營化。其武器庫涵蓋自建與重用組合,靈活滲透多樣環境,快速部署攻擊。對企業而言,資安防線必須從傳統防毒升級為整合「技術、流程與人員意識」的 立體防禦策略,方能在此混合型威脅浪潮中穩住防線。
BERT勒索軟體的部分入侵指標(Indicator of compromise -IOCs):
71dc9540eb03f2ed4d1b6496b13fe839
00fdc504be1788231aa7b7d2d1335893
d1013bbaa2f151195d563b2b65126fa3
3e581aad42a2a9e080a4a676de42f015
edec051ce461d62fbbd3abf09534b731
5cab4fabffeb5903f684c936a90e0b46
003291d904b89142bada57a9db732ae7
29a2cc59a9ebd334103ce146bca38522
38ce06bf89b28ccebf5a78404eb3818e