勒索软件Bert今年4月开始活动，这些骇客最嚣张的活动之一，是对专门研发半导体製程设备、被动元件製程设备、LED製程设备的万润科技下手，并声称窃得超过5 TB内部资料。由于万润是台积电的先进封装技术供应链厂商，后续发展引起国内新闻媒体的高度关注。而这些骇客的活动，也引起资安研究员的注意，追蹤他们的发展。

威胁情报研究员Rakesh Krishnan揭露，原本只攻击Windows电脑的Bert，5月已开发出Linux版勒索软件，经过分析后，他发现Bert的Linux版高度类似勒索软件Revil（Sodinokibi），因为单就程序码基础（Codebase）而言，约有八成雷同。资安业者趋势科技也观察到这些Linux版勒索软件，并指出骇客主要的标的，其实是虚拟化平台VMware ESXi，而且，为了加快加密文件的速度，此勒索软件竟能同时使用50个处理器执行绪来运作，勒索软件能使用如此数量执行绪的情况，相当罕见。附带一提的是，同时使用50个执行緖的做法，还是这款勒索软件的预设组态。

这些骇客原本的攻击目标是美国和亚洲的企业组织，影响的产业，涵盖医疗照护、科技、事件服务。但现在的攻击範围有扩大的趋势，趋势科技确认在亚洲、欧洲、美国都有受害组织。

一旦这款勒索软件执行，它就会透过特定命令强制关闭虚拟机器的处理程序，然后进行加密，被加密的文件副档名会被换成.encrypted_by_bert，最后留下勒索讯息，要求受害组织下载特定即时通讯软件进行后续谈判。

附带一提的是，此勒索软件的组态为JSON格式文件，内容包含公钥、经Base64演算法处理的勒索讯息，以及其他详细资讯。

关于这款勒索软件的来历，趋势科技和Rakesh Krishnan一样，认为可能源于REvil，但他们额外提及资安业者SentinelOne的发现，他们研判与Babuk原始码有所交集。对此，趋势科技推测，Bert很有可能重覆使用REvil的程序码，来打造Linux版勒索软件。

Windows版勒索软件Bert的部分也有所变化，因为趋势科技看到骇客使用PowerShell指令码，充当恶意程序载入工具，执行勒索软件的有效酬载payload.exe。此指令码还具备其他功能，其中包含提升权限，并停用作业系统内建防毒Microsoft Defender、使用者帐号控制（UAC）、防火墙，然后从远端IP位址下载勒索软件并执行。根据骇客使用的IP位址，这些骇客很有可能在俄罗斯活动，或与俄罗斯骇客有关。