攝影/羅正漢
今日(11日)上午,傳出國內知名醫院連續遭駭客入侵,有多達數百臺電腦當機,掛號系統也受波及,影響上百名病患。目前我們已確認這起事件,是遭CrazyHunter勒索軟體攻擊,衛生福利部(衛福部)資訊處也在今日向全國所有醫院發布警訊通知,說明近期部分醫院遭勒索軟體攻擊,請各院加強戒備。
根據國內媒體報導,這次遭受攻擊的醫院,是臺北一家中山區捷運站附近的醫院,並且淡水也有分院。而且遭受攻擊的時間,是從兩日前(週日)早上8點半開始,昨日(週一)也再次受到攻擊。
根據以上描述,顯然這起事件的受害者應是指馬偕醫院,而且已是連續兩日遭到攻擊。
接著我們從多方管道循線追查,發現醫院IT群組已有相關討論,指出事件與CrazyHunter勒索軟體攻擊有關,同時,我們掌握到可靠消息,指出該勒索軟體攻擊可能是中國駭客組織有關,且攻擊造成醫院多達600多臺電腦受影響,並還留下勒索贖金的訊息。
究竟實際資安事故情形為何?我們詢問到衛生福利部資訊處處長李建璋,他表示,這次馬偕醫院遭遇的資安事故,確實是遭受CrazyHunter勒索軟體攻擊,從遇害時間來看,週日(9日)的攻擊影響並不大,但週一(10日)的攻擊變得嚴重,而且駭客甚至揚言今日(11日)傍晚將持續對醫院發動攻擊。
由於醫療機構服務屬於國家關鍵基礎設施,加上近年政府不斷推動醫療領域的資安聯防、公私協力,李建璋表示,隨著駭客持續威脅要再次發動攻擊,他們也著手協助院方來應對。
首先,衛福部與數位發展部資通安全署(資安署)合作,針對此次醫院遭攻擊事件已成立快速反應小組,並且進駐馬偕醫院,以協助因應持續到來的攻擊,特別的是,這次也是衛福部與資安署的首次合作。
其次,由於各家醫院的電腦設備多半都有安裝防毒軟體,但有些醫院可能因為資源關係,還沒有部署端點偵測及回應(EDR)產品,又或是仍使用老舊缺乏安全更新的作業系統,因此衛福部將提供這方面的協助,協調廠商提供2到3個月的免費試用,來補強駭客攻擊的行為偵測與攔阻,暫時因應危險期。
至於攻擊者是從何種管道入侵?李建璋透露,攻擊者在入侵過程中會從AD管道下手,透過弱密碼嘗試取得帳號權限,進而大範圍發動勒索加密攻擊。
另外,衛福部也通知各家醫療院所加強防護,注意網段要確實隔離、將防毒軟體更新至最新版本,同時也提供這次攻擊事件的入侵偵測指標(IoC),讓其他醫院可識別攻擊是否已經發生或正在進行。
緊接著,我們也詢問了這次事件的苦主馬偕醫院,院方表示今日傍晚會發布新聞稿說明。
馬偕醫院很快在下午4時23分向我們回覆,當中內容指出,該院是在2月9日發現系統異常,當下立即啟動資安緊急應變作業流程,並同步通報衛福部資安聯防平台(H-ISAC),也向調查局台北市調查處報案,未來將全力配合調查。至於恐嚇信內容因案件正在偵查中,故不予公開。
而在影響範圍方面,馬偕醫院指出,這次攻擊事件只有影響北淡兩區急診室,目前未有病人個資外洩之虞,醫療作業均正常運作。他們另也表示,這次影響都是前端的設備,後端並未受到影響。
至於這次使用CrazyHunter勒索軟體發動攻擊、幕後的攻擊者身分為何?以及這次攻擊事件的後續發展,我們將持續追蹤報導。更多資訊請見:2025年2月馬偕醫院遭勒索軟體攻擊事件歷程總整理(持續更新中)
2025馬偕醫院遭勒索軟體攻擊_Crazyhunter_衛福部示警.jpg)
衛生福利部資安資訊分享與分析中心(H-ISAC)在2月11日發布警訊,指出醫院遭CrazyHunter勒索軟體攻擊的情況,且駭客揚言將持續對醫院發動攻擊,因此提醒各院加強戒備,同時也揭露目前已知攻擊方式,是透過AD主機並派送惡意程式。
馬偕醫院在2月11日下午4時23分向我們提供這次事件的聲明稿,說明院方是在2月9日發現系統異常狀況,當下啟動應變機制、通報衛福部H-ISAC、向調查局台北市調查處報案,並說明這次遭受駭客攻擊影響範圍主要是台北淡水兩區急診室。
更多資訊請見:
熱門新聞
2025-03-10
2025-03-13
2025-03-10
2025-03-10
2025-03-10
2025-03-13