馬偕醫院傳出遭CrazyHunter勒索軟體持續攻擊，衛福部與資安署已成立快速應變小組協助因應

今日（11日）上午，傳出國內知名醫院連續遭駭客入侵，有多達數百臺電腦當機，掛號系統也受波及，影響上百名病患。目前我們已確認這起事件，是遭CrazyHunter勒索軟體攻擊，衛生福利部（衛福部）資訊處也在今日向全國所有醫院發布警訊通知，說明近期部分醫院遭勒索軟體攻擊，請各院加強戒備。

根據國內媒體報導，這次遭受攻擊的醫院，是臺北一家中山區捷運站附近的醫院，並且淡水也有分院。而且遭受攻擊的時間，是從兩日前（週日）早上8點半開始，昨日（週一）也再次受到攻擊。

根據以上描述，顯然這起事件的受害者應是指馬偕醫院，而且已是連續兩日遭到攻擊。

接著我們從多方管道循線追查，發現醫院IT群組已有相關討論，指出事件與CrazyHunter勒索軟體攻擊有關，同時，我們掌握到可靠消息，指出該勒索軟體攻擊可能是中國駭客組織有關，且攻擊造成醫院多達600多臺電腦受影響，並還留下勒索贖金的訊息。

究竟實際資安事故情形為何？我們詢問到衛生福利部資訊處處長李建璋，他表示，這次馬偕醫院遭遇的資安事故，確實是遭受CrazyHunter勒索軟體攻擊，從遇害時間來看，週日（9日）的攻擊影響並不大，但週一（10日）的攻擊變得嚴重，而且駭客甚至揚言今日（11日）傍晚將持續對醫院發動攻擊。

由於醫療機構服務屬於國家關鍵基礎設施，加上近年政府不斷推動醫療領域的資安聯防，李建璋表示，隨著駭客持續威脅要再次發動攻擊，他們也著手協助院方來應對。

首先，衛福部與數位發展部資通安全署（資安署）合作，針對此次醫院遭攻擊事件已成立快速反應小組，並且進駐馬偕醫院，以協助因應持續到來的攻擊，特別的是，這次也是衛福部與資安署的首次合作。

其次，由於各家醫院的電腦設備多半都有安裝防毒軟體，但有些醫院可能因為資源關係，還沒有部署端點偵測及回應（EDR）產品，又或是仍使用老舊缺乏安全更新的作業系統，因此衛福部將提供這方面的協助，協調廠商提供2到3個月的免費試用，來補強駭客攻擊的行為偵測與攔阻，暫時因應危險期。

至於攻擊者是從何種管道入侵？李建璋透露，攻擊者在入侵過程中會從AD管道下手，透過弱密碼嘗試取得帳號權限，進而大範圍發動勒索加密攻擊。

另外，衛福部也通知各家醫療院所加強防護，注意網段要確實隔離、將防毒軟體更新至最新版本，同時也提供這次攻擊事件的入侵偵測指標（IoC），讓其他醫院可識別攻擊是否已經發生或正在進行。

另一方面，我們也詢問了這次事件的苦主馬偕醫院，院方表示今日傍晚會發布新聞稿說明。

雖然我們尚未收到馬偕醫院的回覆，但在晚間將近6時左右，已有多家媒體報導馬偕醫院對於這次事件的聲明，當中內容指出，該院是在2月9日發現系統異常，當下立即啟動資安緊急應變作業流程，並同步通報衛福部資安聯防平台（H-ISAC），也向調查局台北市調查處報案，未來將全力配合調查。至於恐嚇信內容因案件正在偵查中，故不予公開。

而在影響範圍方面，馬偕醫院指出，這次攻擊事件只有影響北淡兩區急診室，目前未有病人個資外洩之虞，醫療作業均正常運作。　

衛生福利部資安資訊分享與分析中心（H-ISAC）在2月11日發布警訊，指出醫院遭CrazyHunter勒索軟體攻擊的情況，且駭客揚言將持續對醫院發動攻擊，因此提醒各院加強戒備，同時也揭露目前已知攻擊方式，是透過AD主機並派送惡意程式。