top of page
搜尋

從Windows到Linux勒索軟體BERT的演化與擴散

  • 作家相片: Hao Chen Lu
    Hao Chen Lu
  • 7月23日
  • 讀畢需時 4 分鐘

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心


BERT(又被趨勢科技稱作Water Pombero)於2025年4月首次被發現,是一種具備跨平台能力的勒索軟體,主要針對Windows和Linux環境發動攻擊。 根據目前掌握的資訊,BERT勒索軟體的攻擊活動主要集中在亞洲與歐洲地區,受害對象則以醫療產業、科技公司以及事件管理服務等領域為主。 BERT最早針對Windows平台發起攻擊,透過PowerShell Loader(如 start.ps1)取得初始存取,接著提升系統權限並停用 Windows Defender、防火牆及 UAC,再從遠端IP位址下載並執行勒索軟體,後續開始加密檔案,並加上「.encryptedbybert」副檔名,同時留下解密通知,如圖1所示。 圖1:BERT勒索軟體在Windows的加密文件。 圖片來源:TREND 近期,BERT勒索軟體進一步改良與精進,推出針對Linux系統的新變體。 此版與知名勒索軟體Revil(Sodinokibi)在程式碼高達80%的相似度,顯示其技術來源與演進脈絡密切相關。 BERT的技術特色包含可同時啟動50個CPU執行緒以提升加密效率,進而降低被偵測或中斷的風險,此外,還會強制關閉目標虛擬機的運作,以確保加密過程的完整性。 完成加密後,所有檔案將被加上副檔名「.encrypted_by_bert」,如圖2所示。 圖2:BERT勒索軟體在Linux的加密文件。 圖片來源:TREND 另外,BERT勒索軟體程式內部包含一組JSON配置檔,其中含公鑰 (pk)、Base64 編碼的勒索信等詳細資料。 這是現代勒索軟體常見的經典特徵,透過此方式,攻擊者可靈活針對不同場景進行調整與自訂。 為有效防範勒索軟體攻擊,建議可採取以下幾項關鍵措施: 1. 定期進行備份資料,並將備份儲存在與主要系統隔離的地方,如外部硬碟或雲端儲存空間。 2. 確保所有設備的作業系統與應用程式都保持在最新版本,藉此修補可能被駭客利用的安全漏洞。 3. 透過教育訓練提升使用者的安全意識,提升對可疑郵件和網路詐騙的辨識能力,有助於減少人為失誤所造成的風險。 4. 落實最小權原則,限制帳號權限以防止勒索軟體擴散至整個系統。 5. 組織或企業應部屬多層次的資安防護,例如防毒軟體、防火牆以及入侵偵測系統,以提高整體防禦能力。 6. 建立完整的資安事件應變計畫,並定期進行演練,有助在遭受攻擊時可快速反應,有效控管災損並儘速恢復正常運作。 以下是趨勢科技提供BERT勒索軟體的IoC: 1ef6c1a4dfdc39b63bfe650ca81ab89510de6c0d3d7c608ac5be80033e559326 70211a3f90376bbc61f49c22a63075d1d4ddd53f0aefa976216c46e6ba39a9f4 75fa5b506d095015046248cf6d2ec1c48111931b4584a040ceca57447e9b9d71 8478d5f5a33850457abc89a99718fc871b80a8fb0f5b509ac1102f441189a311 b2f601ca68551c0669631fd5427e6992926ce164f8b3a25ae969c7f6c6ce8e4f bd2c2cf0631d881ed382817afcce2b093f4e412ffb170a719e2762f250abfea4 c7efe9b84b8f48b71248d40143e759e6fc9c6b7177224eb69e0816cc2db393db hxxp://185[.]100[.]157[.]74/payload[.]exe

BERT(又被趨勢科技稱作Water Pombero)於2025年4月首次被發現,是一種具備跨平台能力的勒索軟體,主要針對Windows和Linux環境發動攻擊。 根據目前掌握的資訊,BERT勒索軟體的攻擊活動主要集中在亞洲與歐洲地區,受害對象則以醫療產業、科技公司以及事件管理服務等領域為主。 BERT最早針對Windows平台發起攻擊,透過PowerShell Loader(如 start.ps1)取得初始存取,接著提升系統權限並停用 Windows Defender、防火牆及 UAC,再從遠端IP位址下載並執行勒索軟體,後續開始加密檔案,並加上「.encryptedbybert」副檔名,同時留下解密通知,如圖1所示。 圖1:BERT勒索軟體在Windows的加密文件。 圖片來源:TREND 近期,BERT勒索軟體進一步改良與精進,推出針對Linux系統的新變體。 此版與知名勒索軟體Revil(Sodinokibi)在程式碼高達80%的相似度,顯示其技術來源與演進脈絡密切相關。 BERT的技術特色包含可同時啟動50個CPU執行緒以提升加密效率,進而降低被偵測或中斷的風險,此外,還會強制關閉目標虛擬機的運作,以確保加密過程的完整性。 完成加密後,所有檔案將被加上副檔名「.encrypted_by_bert」,如圖2所示。 圖2:BERT勒索軟體在Linux的加密文件。 圖片來源:TREND 另外,BERT勒索軟體程式內部包含一組JSON配置檔,其中含公鑰 (pk)、Base64 編碼的勒索信等詳細資料。 這是現代勒索軟體常見的經典特徵,透過此方式,攻擊者可靈活針對不同場景進行調整與自訂。 為有效防範勒索軟體攻擊,建議可採取以下幾項關鍵措施: 1. 定期進行備份資料,並將備份儲存在與主要系統隔離的地方,如外部硬碟或雲端儲存空間。 2. 確保所有設備的作業系統與應用程式都保持在最新版本,藉此修補可能被駭客利用的安全漏洞。 3. 透過教育訓練提升使用者的安全意識,提升對可疑郵件和網路詐騙的辨識能力,有助於減少人為失誤所造成的風險。 4. 落實最小權原則,限制帳號權限以防止勒索軟體擴散至整個系統。 5. 組織或企業應部屬多層次的資安防護,例如防毒軟體、防火牆以及入侵偵測系統,以提高整體防禦能力。 6. 建立完整的資安事件應變計畫,並定期進行演練,有助在遭受攻擊時可快速反應,有效控管災損並儘速恢復正常運作。 以下是趨勢科技提供BERT勒索軟體的IoC: 1ef6c1a4dfdc39b63bfe650ca81ab89510de6c0d3d7c608ac5be80033e559326 70211a3f90376bbc61f49c22a63075d1d4ddd53f0aefa976216c46e6ba39a9f4 75fa5b506d095015046248cf6d2ec1c48111931b4584a040ceca57447e9b9d71 8478d5f5a33850457abc89a99718fc871b80a8fb0f5b509ac1102f441189a311 b2f601ca68551c0669631fd5427e6992926ce164f8b3a25ae969c7f6c6ce8e4f bd2c2cf0631d881ed382817afcce2b093f4e412ffb170a719e2762f250abfea4 c7efe9b84b8f48b71248d40143e759e6fc9c6b7177224eb69e0816cc2db393db hxxp://185[.]100[.]157[.]74/payload[.]exe See more: https://www.twcert.org.tw/tw/cp-104-10281-cc0a3-1.html

最新文章

查看全部

Kommentare

雷盾資安股份有限公司版權所有 © 2022 by TS Security Co., Ltd.

  • Instagram
  • Facebook
  • LinkedIn
bottom of page