一個名為「Bert」的新型態勒索軟體駭客組織,近期針對國內外金融、醫療、服務業、高科技製造業等多個產業進行攻擊,該組織利用社交工程及惡意廣告等手法進行惡意程式散佈,一旦成功入侵,便會執行「Bert」 勒索軟體以進行檔案加密,並將副檔名修改為.encryptedbybert,除了檔案加密之外,亦涉及資料竊取;博通賽門鐵克已針對上述攻擊活動更新了SEP/ SEDR等防護特徵,請保持各項定義檔更新以強化防護。
Symantec可攔阻特徵類型
| 檔案防護特徵 | 主動型威脅防護特徵 | 可攔阻版本 |
| Downloader
Ransom.Bert Trojan.Gen.MBT Heur.AdvML.C |
SONAR.Cryptlck!g146
SONAR.RansomPlay!gen1 SONAR.PSDownloader!g1 SONAR.SuspBeh.C!gen14 |
檔案防護特徵碼:2025/05/22 rev.8
主動型威脅特徵碼:2025/05/22 rev.1 |
| 說明文件 | Bert Ransomware | |
威脅情資(IoCs)
惡意程式Hash:
- a199924ed100ee13df6ee54940bbd03936322c784954c7860909939ea6658350
- 22a12d5f49373242b1175906b72be0441a1a0f798b6f63a681faa7d724d1ef23
- b11d4758c302677e8f00d7f4f01514c52939b08d0cacaad4533bd0913e404ce0
- 798c2fb45cf37c64d8c3e687a78cb68803c5c39b4db8baf17350a442e46bbf8c
建議
端點防護系統強化事項
- 確認伺服器及端點電腦端點防護系統狀態並保持定義檔持續更新。
- 更新 SEP/SEDR/SESC 惡意程式防護政策,如有 SEDR 用戶,匯入 SEDR 政策即可。
- 優先評估導入 EDR 系統:
- 確保所有端點行為皆可被監控與記錄,增加企業內部即時偵測與反應能力,提高威脅可視性。
- 透過 EDR 事件記錄與時間軸功能,完整追蹤攻擊來源、傳播途徑與影響範圍,強化事件調查與分析能力,加速資安團隊應變處置。
- 透過行為分析技術,對合法工具的行為進行檢測,以因應 (Living-off-the-Land, LOTL) 新形態攻擊。
重要系統主機強化事項
- 定期進行重要主機備份,並以三二一原則(至少備份3 份、使用 2 種不同的備份方式、其中 1 份放在異地)妥善保存重要檔案。
- 清查企業Microsoft 網域中的 Domain Admin 群組是否存在異常的帳號或不應存在的帳號,確認安全事件日誌是否有可疑活動紀錄。
- 請強化網域管理員權限帳號的安全管控機制,如:限制網域管理員權限帳號登入來源、網域管理員權限帳號不允許非上班時間使用等。
- 透過VPN、RDP 連線至內部環境時,需導入兩階段驗證,且具備身份識別控管。
參考來源
- Symantec Threat Hunter Team
- Bert Ransomware
- 針對台積電供應鏈業者萬潤遭駭,勒索軟體駭客組織Bert聲稱從中竊得5 TB內部資料