此篇文章深入探討了資安業者趨勢科技針對勒索軟體Bert的研究,該勒索軟體自2023年4月以來活躍,並在2023年5月針對Linux平台進行了升級,特別將攻擊目標鎖定在VMware的虛擬化平台ESXi。Bert勒索軟體的獨特之處在於它使用了能夠同時運行50個處理器執行緒的技術,顯著加速加密過程。這樣的技術使得它在同類型勒索軟體中非常罕見,也顯示出駭客對於作業效率的極高要求。
Bert勒索軟體最初專攻Windows平台,並於2023年5月推出Linux版。根據資安專家Rakesh Krishnan的分析,這兩個版本的勒索軟體在程式碼基礎上約有80%的相似性,尤其是在設計上高度模仿了勒索軟體Revil(Sodinokibi)。Bert的攻擊目標主要是虛擬化平臺VMware ESXi,這是因為虛擬機器的處理流程相對集中,且系統環境較為一致,有助於駭客達成大規模加密的目的。這些攻擊大多發生在美國和亞洲的企業,涵蓋醫療照護、科技及事件服務等產業,而近期攻擊範圍有擴展的趨勢,甚至在歐洲、美國也已經有受害者。Bert勒索軟體的加密過程頗為高效,它能同時使用50個處理器執行緒,這是其顯著的技術特色。當它在目標系統中啟動時,會透過特定命令強制停止虛擬機器的處理程序,接著進行檔案加密,加密後的檔案副檔名會更改“.encrypted_by_bert”,並在系統中留下勒索訊息,要求受害組織與駭客進行後續的談判。此外,勒索訊息中的細節會以JSON格式呈現,包括公鑰、經Base64編碼的勒索訊息及其他重要資訊。
文章指出,資安研究員普遍認為Bert的設計可能源自REvil勒索軟體,但趨勢科技和Rakesh Krishnan同樣提到,Bert可能也與Babuk勒索軟體的原始碼有關聯。Bert在Linux版和Windows版上均做出了不同程度的調整,尤其是在對Windows版本的操作上,駭客使用了PowerShell指令碼來充當惡意程式的載入工具。這些指令碼不僅能夠執行勒索軟體,還有權限提升、停用內建防毒軟體(如Microsoft Defender)和防火牆的功能,顯示駭客可能在俄羅斯活動,或與俄羅斯的駭客團體有所關聯。
Bert勒索軟體的升級與攻擊範圍的擴展提醒企業,尤其是使用虛擬化平臺的公司,必須加強對新型勒索攻擊的防護措施。本文建議企業定期更新並加強防火牆設定、避免使用過高權限的帳號操作系統,並對PowerShell等潛在危險指令進行管控。隨著駭客組織對攻擊技術的不斷創新,企業需要持續提升資安意識與防禦能力,以應對更複雜且更具威脅性的攻擊。
