標籤: Ransomware

在 2025 年 10 月下旬，俄語系勒索組織 Everest 再度掀起全球資安圈震撼，這個在暗網上活動多年的集團，不僅聲稱竊取了美國電信巨頭 AT&T Carrier（att.jobs） 的內部資料，更公開販售愛爾蘭 都柏林機場（Dublin Airport） 及阿拉伯聯合大公國 阿拉伯航空（Air Arabia） 的乘客與員工資料，開價分別為 100 萬美元與 200 萬美元。

這不只是單純的資料外洩事件，而是一場有組織、有策略的網路勒索行動，揭示了企業在全球化數據互聯環境下的脆弱現實。

---

攻擊事件概況：從 AT&T 到航空業的數據勒索

根據資安媒體 Hackread.com 的報導，Everest 勒索集團在 10 月 21 日首次聲稱入侵 AT&T 的招聘平台 AT&T Carrier，取得約 57 萬筆應徵者與員工個資，內容包含姓名、電話、電子郵件與內部帳號資料。

駭客向 AT&T 發出最後通牒，要求在 6 天內聯繫，否則將公開資料。期限屆滿後，兩份名為「user_list」與「customer_list」的 CSV 檔案確實被釋出至暗網。

緊接著，Everest 又在 10 月 25 日將矛頭轉向航空業：

• 都柏林機場 1,533,900 名旅客資料被勒索 100 萬美元；
• 阿拉伯航空 18,000 名員工資料則標價 200 萬美元。

這些資料不僅包含姓名、航班編號、座位號、行李標籤編號與登機證號碼，甚至包括乘客使用的設備型號與登入來源。對駭客而言，這些資訊不只是可販售的數據，更可能成為下一波社交工程攻擊的養分。

---

深度分析：Everest 的戰略思維與技術軌跡

Everest 勒索集團並非新面孔。自 2020 年起，它便以「雙重勒索（Double Extortion）」策略聞名——先加密受害者系統，再威脅若不付贖金，便公開資料。

近年來，他們逐漸轉型為「資料掮客型勒索組織」，不再單純依賴加密，而是利用 資料外洩與暗網拍賣 為主要盈利手段。其行動具備以下特徵：

1. 鎖定高資料密度產業：如電信、航空、金融與醫療。
2. 多層社交工程與滲透手法：包括利用釣魚郵件或滲透第三方供應商。
3. 以恐懼操控輿論：將資料貼上暗網「公告板」，限時倒數公開，逼迫企業談判。
4. 多語言操作團隊：其論壇與通訊紀錄顯示，Everest 擁有俄語、英語及阿拉伯語使用者，顯示組織跨區域運作的成熟度。

這次針對航空與電信業的攻擊，顯然不是偶然。航空業擁有大量個資、行程與身分驗證資訊，一旦外洩，對企業信譽與乘客安全都構成長期風險。

---

資安觀點：從 Everest 看資料勒索的產業化

Everest 的手法凸顯出勒索產業的「轉型趨勢」——從「系統加密」轉向「資料勒索」，從「單點攻擊」進化為「供應鏈滲透」。

在這種模式下，即使企業部署了防毒軟體與 EDR（端點偵測與回應）方案，也難以完全抵擋資料被外洩的風險。因為駭客的入侵早已滲入應用層與雲端 API 的交互點上。

以本次事件為例，若企業內部的 雲端應用（如招聘平台或旅客資料庫） 未實施嚴格的權限控管與加密傳輸，駭客只需取得一組帳號或 API 金鑰，便能長期竊取資料而不被察覺。

---

 專家建議：如何防範下一波資料勒索

作為企業防禦者，以下幾點是從此事件應該吸取的教訓：

1. 強化帳號與 API 管控：導入零信任驗證（Zero Trust）與多因素認證（MFA）。
2. 落實資料分級保護：旅客或應徵者個資應採用分層加密與存取審計。
3. 導入 DLP（資料防漏）與 UEBA 行為分析：偵測內部帳號異常存取。
4. 建立外洩模擬演練（Data Leak Simulation）：提早評估事件發生後的應變能力。
5. 透明通報機制：面對資料外洩，企業應主動公告、減少輿論傷害。

---

結語：Everest 的訊息

Everest 並非僅僅是一個勒索組織，而是反映了當前資安威脅生態的縮影：
在這個資料即資產的時代，企業若仍以傳統防毒思維應對新型勒索攻擊，只會被迫在暗網的談判桌上「買回自己的資料」。

真正的防禦，不只是技術，更是策略與決心。
而 Everest，只是提醒我們——資安的戰場，從未離開過資料本身。

自 2025 年 5 月起，新興勒索軟體集團 Dire Wolf（冰原狼） 持續在全球發動針對性攻擊，專挑製造與科技產業下手，並採取「加密 + 外洩」的雙重勒索手法。根據我們的統計，DireWolf 至今已對全球 11 個國家的企業發動攻擊，共計 16 家受害公司。其中，台灣與印度各有 2 家企業遭殃，泰國更有 3 家企業受害，成為目前攻擊數量最多的國家。其餘 9 個國家則各有 1 家企業中招，顯示該勒索組織的攻擊行動已具備跨國擴散趨勢，威脅態勢不容小覷。

真實事件：台灣企業遭鎖定

2025 年 6 月 25 日，竣盟科技發現，Dire Wolf 勒索軟體已將台灣南部某大型企業集團旗下的上市鋼鐵公司列為其受害者。攻擊者已將該公司多達 30GB 的機密資料公開於暗網，顯示該企業目前正面臨嚴重的資料外洩風險，需強化資安防護機制。

事實上，早在同年 5 月下旬，本土保險業者 Kiwi86 即傳出遭 Dire Wolf 鎖定，兩起事件顯示該集團正有系統地針對台灣的產業發動一連串進階攻擊，攻擊行為已具明確區域性與策略性。

程式語言與加密技術：Golang + Curve25519 + ChaCha20

Dire Wolf 的勒索程式是以 Golang 語言撰寫，這對分析人員來說是一大挑戰，因為許多傳統 AV 和靜態分析工具對 Golang 支援仍不完善。

根據Trustwave的報告，Dire Wolf加密邏輯採用：

• Curve25519 公私鑰交換機制
• ChaCha20 流加密演算法
  這種組合提供高速度與強加密強度，是近年勒索軟體常用架構之一。

被加密的檔案副檔名會統一為「.direwolf」，並排除常見系統檔案副檔名（例如 .exe、.dll、.sys 等）以避免影響作業系統運作。

自檢與反取證設計

程式執行時會先檢查是否已加密過受害主機，具體機制為：

• 檢查 C:\runfinish.exe 標記檔
• 是否存在 Global\direwolfAppMutex 的 Mutex（互斥鎖）

若已加密或正在執行中，勒索程式會立即執行自刪命令：

cmd /C timeout /T 3 & del /f /q <self_path> & exit

停用防禦與干擾應用程式

Dire Wolf 的惡意行為模組可分為三大部分：

1. 關閉事件記錄

使用 PowerShell + taskkill 終止 Windows Event Log：

powershell

Get-WmiObject -Class win32_service -Filter “name = ‘eventlog'” | select -exp ProcessId

taskkill /F /PID <PID>

2. 關閉關鍵服務

利用 ControlService() 或 sc stop 停止防毒、備份與資料庫等 75 項服務，範例如：

• MSSQLSERVER
• BackupExecJobEngine
• Sophos, Symantec, Qihoo 360 相關服務

接著使用：

sc config <service-name> start= disabled

徹底停用開機啟動。

3. 終止應用程式

對多達 59 種執行中的應用程式持續執行 taskkill /F /IM 進行強制關閉，包括：

• 辦公室套件（Word、Excel、Outlook）
• 資料庫系統（SQL Server、Oracle）
• 備份軟體（Veeam、BackupExec）
• 一般應用程式（Notepad++、Thunderbird、Steam）

這讓使用者無法備份、回復或即時應對攻擊。

消除痕跡與加強破壞力

勒索程式會執行一系列命令來消除系統回復能力，包括：

vssadmin delete shadows /all /quiet

wbadmin delete backup -keepVersions:0 -quiet

bcdedit /set {default} recoveryenabled No

wevtutil cl system

這些命令會刪除所有陰影複製（快照）、停用備份排程、關閉系統恢復模式，並清除四大 Windows Event Logs（應用程式、系統、安全、安裝）。

客製化勒索通知與談判機制

每個受害者會收到一份客製化勒索信，包含：

• 專屬聊天室登入資訊（Room ID / Username / 密碼）
• Gofile.io 檔案連結（證明已外洩資料）
• 談判期限與付款指示（部分受害者勒索金額高達 $500,000）

這顯示 Dire Wolf 並非「撒網式」RaaS，而是具備高規劃性的 APT 式商業攻擊。

---

【專家建議】防範 Dire Wolf 的關鍵行動建議

儘管目前尚無法完全釐清 Dire Wolf 勒索攻擊的初始入侵途徑，但其高度針對性的行動模式顯示，該攻擊集團具備強大的前期偵察能力與自製惡意工具的技術實力。建議企業即刻啟動下列多層次防禦策略，以有效降低潛在風險：

1. 偵測關鍵勒索行為與指令模式

強化對勒索常見命令的行為監控，例如：

• vssadmin delete shadows
• wbadmin delete backup
• wevtutil cl

這些命令常用於破壞系統還原與備份紀錄，須列入高風險指標加強偵測。

2. 強化備份防護與隔離機制

避免備份遭同步加密或惡意刪除，建議採取：

• 不可變備份（Immutable Backup）：確保資料無法被修改或刪除。
• 離線備援（Air-Gapped Backup）：將備份資料隔離於網路外，防止駭客存取。

3. 監控 Golang 執行檔與異常行為

由於 Dire Wolf 採用 Golang 語言開發，加強針對 .go 或 Golang 編譯型執行檔的異常啟動行為監控，有助於提前辨識可疑程式活動。

4. 導入行為分析與威脅獵捕機制

透過建置零信任架構並導入 UEBA（使用者與實體行為分析）技術，可有效強化身份驗證與行為監控能力。此類機制有助於偵測包括橫向移動、異常帳號活動及系統資源濫用等潛在威脅，彌補傳統資安防護在內部行為辨識上的不足，提升整體威脅可視性與防禦反應速度。

5. 建置誘捕機制（Deception Technology）進行主動偵測

部署誘捕帳號、假資料夾、誘餌伺服器等資安陷阱，有效達成：

• 引誘攻擊者暴露行為
• 強化事前偵測與行為取證
• 延緩攻擊進程爭取應變時間

對於如 Dire Wolf 這類具備橫向滲透與計畫性攻擊能力的團隊，誘捕技術是強化能見度與提升防禦主動性的關鍵手段。

Dire Wolf勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

8fdee53152ec985ffeeeda3d7a85852eb5c9902d2d480449421b4939b1904aad

27d90611f005db3a25a4211cf8f69fb46097c6c374905d7207b30e87d296e1b3

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.tech , 以免觸法”

2025 年，勒索軟體攻擊正加速向跨平台與模組化方向演進。而新興威脅團體 BERT，正以驚人的部署效率與攻擊技術，成為全球資安社群高度關注的新焦點。

該團體於 2025 年 4 月首次被揭露，實際活動可追溯至 3 月中旬。最初以攻擊 Windows 為主的 BERT，如今已將戰線延伸至 Linux 環境。自 5 月起，其開始大量部署 武裝化的 ELF 執行檔（Executable and Linkable Format），發動對企業伺服器的精密攻擊，進一步展現其橫跨作業系統的攻擊能力。

---

掃描攻擊模式：從 Windows 到 Linux 的全面滲透

BERT 的 Linux 版本展現高度成熟的惡意設計。根據THE RAVEN FILE的分析，其程式碼與 REvil（Sodinokibi）勒索軟體重疊率高達 80%，顯示該團體有意重用成熟的攻擊架構，加快惡意工具的武器化週期。

其 Linux 樣本混合使用 AES、RC4 PRGA、Salsa20、ChaCha 等加密演算法，加上 Base64 編碼進行資料混淆。為強化隱匿性，攻擊程序還結合 AWK 指令查詢系統環境資訊，顯示 BERT 對 Linux 系統結構具備高度掌握。

---

Windows 工具：品牌化與強化滲透手法

BERT 的 Windows 工具同樣展現高度客製化。該團體利用 .NET 架構開發勒索程式，透過 WinAPI 執行 RSA 加密，並將加密檔案加註特製副檔名，如 encryptedbybert、encrypted_bert，反映其品牌化經營手法。

部署上，BERT 透過一支 PowerShell 指令碼（185.100.157.74/start.ps1）進行初始滲透，首先關閉 Windows Defender、RTP 即時防護與使用者帳戶控制（UAC），再下載惡意程式 payload.exe。該伺服器所屬 IP 映射至瑞典，最終基礎設施則與俄羅斯公司 Edinaya Set Limited 有關，突顯 BERT 選擇在執法鬆散區域運營其攻擊基礎設施。

---

暗網操作與資料外洩流程

BERT 在暗網上設有專屬 Onion 網站，用於洩漏資料與與受害者進行談判。贖金多以特幣（BTC）收取，曾有樣本金額高達 1.5 BTC（約480台幣）。其洩漏資料以壓縮分段檔案形式呈現，如 part1.zip、part2.zip 等，儲存在使用 Apache/2.4.52（Ubuntu）的伺服器上。

從攻擊範圍來看，美國是最主要受害國，其次為英國、馬來西亞、台灣、哥倫比亞與土耳其，目標產業集中於 製造業與服務業。值得注意的是，BERT 常透過偽造時間戳記（如設定為 2047 或 2076 年）來迴避檔案行為分析偵測。

---

資安建議：如何應對 BERT 的跨平台進化？

BERT 的策略顯示出未來勒索攻擊不再侷限於單一平台，而是透過模組化、品牌化與基礎架構多國化來提升隱蔽性與擴散速度。建議企業即刻強化下列資安措施：

多層次防禦體系建構
部署端點偵測與回應（EDR）、威脅獵捕、勒索備份還原系統（immutable backup）等防線，避免單點失守導致橫向擴散。

定期修補與環境硬化
落實 Windows 與 Linux 系統漏洞管理，特別針對 PowerShell、.NET 執行環境與 ELF 檔執行權限進行嚴格控管。

強化員工資安意識
導入定期訓練課程，教育使用者辨識釣魚信件、社交工程與常見攻擊行為，以降低初始滲透成功率。

即時網路行為監控與封鎖
導入 DNS Filtering 與行為型 IPS/IDS，主動偵測並封鎖來自高風險地區（如瑞典 IP、俄羅斯註冊網域）的可疑流量。

導入欺敵技術（Deception Technology）
建立誘餌帳號、假目錄與仿真服務器等陷阱資產，可有效誘使攻擊者暴露行動，提前觸發預警。這類技術特別適合偵測像 BERT 這類擅長橫向移動與潛伏的高隱匿型攻擊行為。

---

結語

BERT 正代表著勒索軟體的新世代：跨平台、即服務化、品牌經營化。其武器庫涵蓋自建與重用組合，靈活滲透多樣環境，快速部署攻擊。對企業而言，資安防線必須從傳統防毒升級為整合「技術、流程與人員意識」的 立體防禦策略，方能在此混合型威脅浪潮中穩住防線。

BERT勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

71dc9540eb03f2ed4d1b6496b13fe839

00fdc504be1788231aa7b7d2d1335893

d1013bbaa2f151195d563b2b65126fa3

3e581aad42a2a9e080a4a676de42f015

edec051ce461d62fbbd3abf09534b731

5cab4fabffeb5903f684c936a90e0b46

003291d904b89142bada57a9db732ae7

29a2cc59a9ebd334103ce146bca38522

38ce06bf89b28ccebf5a78404eb3818e

首次發現時間：2025年4月初
威脅等級：高
攻擊手法：雙重勒索（加密檔案 + 資料外洩威脅）
主要傳播管道：釣魚郵件、偽冒軟體更新、漏洞利用等

---

威脅概觀

Bert 勒索軟體是 2025 年出現的新型勒索軟體家族，具備典型的「雙重勒索」特性：不只對受害者的檔案進行加密，此外，Bert 擁有資料外洩網站（Data Leak Site），若企業拒絕支付贖金，攻擊者將在此平台曝光竊取的敏感內容，造成更嚴重的商譽損害與合規風險。

被加密的檔案會加上副檔名：.encryptedbybert，並產生一份名為 .note.txt 的勒索說明文件，要求受害者透過 Session 通訊應用程式聯繫攻擊者，這也顯示攻擊者重視匿名性與規避執法機構追蹤的能力。

---

已知受害對象

• SIMCO Electronics（美國）
• Yozgat City Hospital（土耳其）
• National Ticket Company（美國）
• 台灣某半導體供應鏈廠商

目前觀察顯示，Bert 並未鎖定特定產業，攻擊對象涵蓋醫療、製造、服務等多個垂直領域，顯示其行動以經濟利益為主導。

---

攻擊技術與行為特徵

• 檔案加密副檔名：.encryptedbybert
• 勒索訊息檔名：.note.txt
• 通訊方式：Session App（匿名即時通訊工具）
• 加密同時竊取機敏資料進行勒索
• 傳播方式包括：
  • 含有惡意巨集的 Office 文件（釣魚郵件）
  • 偽裝成更新程式或破解工具的惡意執行檔
  • 網頁掛馬與漏洞利用
  • 外接裝置如 USB 傳染

---

MITRE ATT&CK 戰術與技術對應

根據對 Bert 勒索軟體樣本的靜態與動態行為分析，其攻擊鏈可明確對應至多項 MITRE ATT&CK 技術，涵蓋從初始執行到資料加密的各階段。以下為相關技術對應摘要：

高級規避與持久化技術

Bert 除了具備典型勒索軟體功能，更整合虛擬化與沙箱環境偵測機制（T1497），可有效繞過自動化分析與監控系統。其進一步透過修改 Windows 的 Image File Execution Options（IFEO）登錄機碼，實現程序攔截與靜默執行，從而增強持久性與隱蔽性。這類技術顯示 Bert 擁有高度模組化與針對分析環境調適的能力。

---

初步攻擊指標（Indicators of Compromise, IOC）

檔案資訊：

• 加密副檔名：.encryptedbybert
• 勒索說明檔名：.note.txt

疑似通訊 ID（Session App 範例）：

• 05be2653fc28a7b9ee95c8cda412bf2c749fa2bd9e7f650bbaaf116e0ac315d5

可疑檔案路徑：

• C:\Users\[username]\AppData\Roaming\Bert\payload.exe
• C:\ProgramData\BertLauncher\launch.bat

可疑下載 URL（應列入封鎖名單）：

• hxxp://malicious-domain[.]com/updates/officepatch.exe
• hxxps://fileshare[.]xyz/crack/BertLoader.exe

相關 SHA-256 檔案雜湊：

• ad4ef2d5c7a3cfdfebcfaf726c8de12349b30b5e72438dc7f3a8eb95e2b10f13

---

防禦建議

1. 強化備份策略
   定期備份關鍵資料，並儲存於 離線或不可變更（Immutable）儲存設備，防止勒索軟體加密備份檔案。
2. 端點偵測與回應（EDR）
   部署具行為分析與威脅獵捕功能的 EDR 工具，監控可疑檔案執行、權限異常提升、系統 API 操作等行為。
3. 員工資安訓練
   針對釣魚郵件、社交工程、非法軟體安裝等進行教育訓練。可結合 模擬攻擊演練（Phishing Simulation） 增加實戰應對經驗。
4. 監控異常 Session 通訊與加密行為
   設置 SIEM/IDS 規則偵測使用 Session 通訊 App 的流量（如 port 4280），以及大量檔案加密、重命名等行為。
5. 引入誘捕防禦技術（Deception Technology）
   在企業內部部署誘餌帳號（decoy accounts）、虛假資料夾、仿真伺服器等誘捕資產，一旦遭到存取，立即觸發告警。
   • 有效偵測橫向移動與勒索軟體活動
   • 適合與 SIEM、EDR 結合使用
   • 可作為早期偵測機制，比傳統病毒碼更快發現新變種行為

---

專家觀點總結

Bert 勒索軟體反映出現代勒索攻擊者的策略日益成熟，除了透過加密造成業務中斷，更強調資訊外洩帶來的威脅與談判籌碼。面對這類新型威脅，企業應建立「資安韌性框架」，從預防、防禦、監控到應變流程全面強化。

資安業界持續警告，勒索軟體已不再只是金錢勒索的工具，而是被用作地緣政治博弈中的數位武器。近期 Interlock 勒索軟體針對某國防承包商的攻擊事件，再次揭示了這類攻擊對於國防產業供應鏈、機敏資料外洩與戰略安全風險的巨大衝擊。

根據資安公司Resecurity 的調查，這次事件中遭到入侵的系統揭露了多家全球國防產業領頭企業的供應鏈與作業資訊。這不僅對該受害公司造成影響，也可能對全球其他承包商與軍方單位產生連鎖性的風險擴散效應。

---

攻擊揭露的國際國防企業名單包括：

• Hanwha（韓華）
• German Aerospace（德國航太）
• Leonardo（李奧納多）
• PW Defence
• Raytheon（雷神）
• Simmel Difesa
• SpaceX（太空探索技術公司）
• SE Corporation
• Thales（泰雷茲）
• Talley Defense
• QinetiQ（英國凱尼提克）

這些企業在全球防衛網絡中扮演關鍵角色，任一點被入侵，整體鏈條都有風險失守的可能。

---

勒索軟體背後的真正意圖：滲透、間諜與破壞

雖然表面上看來是為勒贖而來，但根據 Resecurity 的分析，有些勒索集團與國家支持的進階持續性威脅（APT）組織有直接或間接關聯。這些組織利用勒索軟體當作掩護行動的工具，進行以下目的：

• 暗中蒐集軍工業情報與關鍵技術
• 操控軍事供應鏈時程，延緩生產與部署
• 作為戰略性破壞或心理戰手段
• 利用資訊外洩影響外交或軍事決策

隨著全球地緣衝突升溫，類似手法可能會持續成為國家級敵對行動的一環。

---

攻擊的供應鏈效應：從單點滲透到全面擴散

在國防產業中，供應鏈環環相扣。當主要承包商的系統被入侵時，相關下游供應商、製造商、甚至政府單位也可能遭受次級攻擊。常見的風險包括：

• 憑證竊取後的橫向滲透
• 假冒信件造成的標靶式釣魚攻擊
• 對老舊裝置與合作平台的漏洞利用
• 未受保護的 API、FTP 或存取端口被掃描與滲透

這些風險在未實作資安縱深防禦（Defense in Depth）架構的環境中尤其明顯。

---

引入「欺敵技術」作為防禦新思維

在面對像 Interlock 這類高風險威脅時，傳統的被動防禦（如防火牆、AV、EDR）已顯不足。主動式防禦技術──尤其是「欺敵技術（Deception Technology）」，正成為企業與國防單位的新防線。

欺敵技術的核心目的是： 在真實環境中佈建出一套虛假但可信的資產與資源，引誘攻擊者進入陷阱，以便及早偵測並回應攻擊行為。

欺敵技術常見的部署元件包括：

• Decoys 誘餌主機：模擬伺服器、工作站、資料庫、印表機、網路裝置等資源
• Lures 誘導資訊：如弱密碼帳號、預設設定、虛構的權限或 AD 元件
• Breadcrumbs 麵包屑：部署在真實生產環境中的誘導資料，例如記憶體憑證、瀏覽器紀錄、資料夾捷徑、網路磁碟代號
• Baits 勾餌內容：引誘點擊或存取的敏感文件、Beacon 檔案、虛構 DNS 紀錄、程式程序等

一旦攻擊者接觸這些資源，即可觸發偵測與封鎖機制，有效縮短「潛伏時間（dwell time）」，並提升攻擊溯源能力。

---

國防產業需全面提升資安等級

針對此次事件，資安專家提出以下因應建議：

• 落實 CMMC（Cybersecurity Maturity Model Certification）驗證與追蹤
• 強化網路區隔與關鍵系統隔離
• 部署零信任架構（Zero Trust Architecture）與用戶行為監控
• 建立欺敵防禦環境以即時發現潛藏攻擊者
• 公私部門合作，建立共享的威脅情報平台
• 規劃橫跨內部與供應鏈的危機應變機制

---

結語：國防產業的資安已是國安等級任務

Interlock 事件再次提醒我們，在數位戰爭時代，任何承包商、技術供應商甚至中小製造商，都是國家防禦的一環。資安不只是技術問題，更是組織風險、信任機制與國安防線的延伸。

唯有透過持續的監控、創新的防禦架構（如欺敵技術）、合規驗證與跨部門協作，我們才能真正守護國家級基礎關鍵資產。