事件說明 2025年3月1日(週六)~3月2日(週日),彰化基督教醫院傳出遭勒索軟體攻擊的事件。
在3月3日,彰化基督教醫院發布訊息說明駭客攻擊彰基醫學中心,並指出該院資訊工程師於3月1日(週六)開始偵測到有駭客攻擊,緊急應變已經持續了兩天,在3月3日已經恢復正常。衛生福利部資訊處長李建璋亦向國內媒體透露,衛福部已成立緊急應變小組協助。
值得注意的是,3月4日衛福部資訊處指出,彰化基督教醫院也是遭遇CrazyHunter這支勒索軟體攻擊,與上個月馬偕紀念醫院遭遇的威脅相同。
因此這些攻擊事件已被定調為「系統性攻擊」,因為攻擊者可能持續對不同國內醫院下手。衛生福利部也在3月4日舉行緊急資安會議,請上述兩家遭受攻擊的醫院,分享其清除與防禦經驗給其他關鍵基礎醫院。
此外,在應變準備方面,除了先前有TWCERT/CC提供勒索軟體防護專區,以及事前、事中與事後的指南,衛生福利部資訊處也從3月3日協助擬定醫療院所應變指南,並在3月6日於衛生福利部資安資訊分享與分析中心(HISAC)發布「醫院面對勒索軟體攻擊的應變指南」。
受害狀況/影響
由於彰化基督教醫院是雲林、彰化、南投唯一的醫學中心,這次事件造成多大影響也深受關注。
根據彰化基督教醫院在3月3日公布最新消息:「雖然有部分系統短暫失靈,但是都積極搶修完成,沒有資料外洩、病患權益受損、或者全面被癱瘓的情形。」
而根據中央社的報導,彰基醫院表示受影響的系統是該院的院外掛號系統,並也提及衛生福利部資訊處長李建璋的回應,指出:「彰基前2天遭受攻擊時,成功守住,但今天有些主機有停機狀況,因此成立緊急應變小組,目前已經有微軟、中華資安等一線最有經驗的團隊進駐,盼找出病毒源頭,所幸院方資料皆有備份,目前正在逐步復原」
※補充資訊:攻擊者都是利用假日開始發動攻擊。例如:彰化基督教醫院提到,這次駭客利用假日資訊部人力最缺乏的時候發動攻擊。衛生福利部資訊處也提醒,上個月馬偕紀念醫院與這次彰化基督教醫院遭遇的事故,都利用假日及深夜等資安防護較為鬆散的時段。另也指出目前攻擊態勢未完全平息,未來不排除還有其他醫院成為攻擊目標,因此各院務必提高警覺。
受害原因
這次攻擊者的入侵管道有待揭露。
※補充資訊:衛福部資訊處3月4日舉行緊急資安會議以分享第一手勒索軟體的清除與防禦經驗。不過衛生福利部資安資訊分享與分析中心(HISAC)在3月5日有補充公告,指出該分享內容均處於調查階段,提及之攻擊路徑尚未證實。
※補充資訊:其他CrazyHunter這支勒索軟體攻擊醫院的消息,可參考上個月馬偕事件的資訊:https://www.ithome.com.tw/news/167327
勒索軟體/惡意軟體分析
在3月6日下午4點,我們注意到中芯數據發布關於相關新聞,當中公布了彰化基督教醫院遭遇網路攻擊的入侵指標(IOC)。
中芯數據發布新聞揭露:
| 惡意程式名稱 | SHA256 |
| appitob.exe | 17253e483d0f8c40b617f34465277e65e43378fda907e0a43121380883a30abb |
| result.exe | a6293cfe4193ccd4cd4717fbe14cd8c0fdf321328683f35e8a4c68bfc1d5b741 |
| za.sys | c38a7b26aa4fb1852ba472799bf8a98cf29f9cfc237197af8dade653ad434cf5 |
| zaa.exe | 37a7cdf5961ebb65ed3b90a1d2cb6549e463f8ccd6df005ce98542da1905ca3b |
| svc.exe | e82c5eed5a30398708d83548eb2d2d2a6dd0988b7b759f4efee924ad26632e31 |
| mssqld.exe | 7e6847a75713db7968f4343a42ac11535c1fd85db3afb1a4bc5409b5bd76bb7b |
| beacon_x64.exe | fe6dbeeba24ff42d076036be35ceb6787319994ac9c1d386c2d11618c4ac02a1 |
| go.exe | edca2f8a156d4649ed5b7025c50879e647c3d3d2d918eb0c3b710343b9ac407d |
| hunter.exe | 2dc17e0e702af50a1b4220cbce08d03a3b2fcdcd9bde9b510471dd5fcf12085b |
| go.exe | 9bbeccf3f218f64ea366ce52df59ca3d4324de3149b6a2e4118c3a3ec33a63cd |
| stop.exe | 2ab1bef3c6fbab3260b2ebe713f0d0bf6e401e3eaae867f9df120662dd649e55 |
| 中繼站 |
| hg7wx7t7.usw3.devtunnels.ms |
| lmsfo.sharepoint.com |
| 註:IP/Domain為微軟的,建議只對Domain進行監測 |
※補充資訊:其他CrazyHunter這支勒索軟體攻擊醫院的消息,可參考上個月馬偕事件的資訊:https://www.ithome.com.tw/news/167327
院方與主管機關正式公告
●彰化基督教醫院公共關係部發布最新訊息:駭客攻擊彰基醫學中心,抗駭資工勇士徹夜作戰(2025-03-03)
●彰化基督教醫院張貼媒體報導:駭客攻擊彰基醫學中心,抗駭資工勇士徹夜作戰(2025-03-03)
●衛生福利部資訊處公告:彰化基督教醫院遭勒索攻擊,衛福部迅速啟動全國資安應變機制(2025-03-04)
●HISAC公告:請各院勿將114年3月4日召開之醫療領域緊急資安會議提及特定廠商作為採購評估之依據(2025-03-05)
●HISAC公告:訂定「醫院面對勒索軟體攻擊的應變指南」(2025-03-06)
事件時間軸
2025-03-01 彰化基督教醫院在3月1日(週六)的二二八連假期間發現遭受偵測到有駭客攻擊。
2025-03-03 彰化基督教醫院發布消息揭露「駭客攻擊彰基醫學中心」一事,其內容也強調該院的資安作為,以及與為衛福部合作實戰攻防演練,這起事故之後也引起多家媒體報導。
●彰化基督教醫院公共關係部發布最新訊息:駭客攻擊彰基醫學中心,抗駭資工勇士徹夜作戰(彰化基督教醫院)
●彰基遭駭客攻擊…醫院經2天徹夜抗駭 今逐步恢復正常(聯合新聞網)
●彰基醫院遭駭客攻擊已修復 院外掛號系統短暫失靈(中央社)
●彰基遭駭客攻擊 衛福部:資安專家進駐、將報案(中央社)
●彰基遭駭攻擊通報衛福部 資料未外洩未報案(中央社)
●彰化基督教醫院傳出二二八連假遭到網路攻擊,病毒取得管理權限造成部分主機當機(iThome)
2025-03-04 衛福部資訊處發布新聞:彰化基督教醫院遭勒索攻擊,衛福部迅速啟動全國資安應變機制,表示彰化基督教醫院也是遭遇CrazyHunter這支勒索軟體攻擊,與上個月馬偕紀念醫院遭遇的威脅相同,因此定調為「系統性攻擊」。同日也召集關鍵基礎醫院舉行緊急會議,由近來遭受攻擊的兩家醫院分享勒索軟體的清除與防禦經驗。
2025-03-06 衛福部資訊處透過HISAC發布「醫院面對勒索軟體攻擊的應變指南」
2025-03-06 中芯數據發布新聞揭露彰化基督教醫院遭遇勒索軟體攻擊事件IOC
相關資訊
是誰使用CrazyHunter這支勒索軟體程式發動攻擊?我們在2月12日馬偕紀念醫院遭遇攻擊事故後詢問奧義智慧,他們表示,研判是名為Hunter Ransom Group的駭客族群所為。
這個名為Hunter Ransom Group駭客組織,是否與另一駭客組織Hunter internationasl有關?奧義智慧向我們解釋,兩者並不相同,Hunter Ransom Group組織是用修改prince勒索軟體而成,在經過惡意加密後,受害者副檔名會變成.hunter,而Hunter internationals勒索軟體組織是接手已遭美國FBI瓦解的Hive勒索軟體的程式碼,其加密後的副檔名是.locked。
應變措施
●彰化基督教醫院:
3月1日(週六)彰基資訊工程師開始偵測到有駭客攻擊,緊急應變兩天後,在3月3日已經恢復正常。
●衛生福利部資訊處:
(一)成立緊急應變小組協助彰化基督教醫院
(二)鑒於連續兩家醫院都遭受CrazyHunter攻擊,認為兩起事故並非獨立事件,因此衛福部資訊處已將此狀況定調為「系統性攻擊」事件。
(三)由於駭客可能再次對臺灣醫院發動攻擊,資訊處在3月4日召集關鍵基礎醫院舉行緊急會議,請經歷資安事故的兩家醫院,分享勒索軟體的清除與防禦經驗。
(四)衛生福利部資訊處HISAC發布「醫院面對勒索軟體攻擊的應變指南」
熱門新聞
2025-03-03
2025-03-03
2025-03-05
2025-03-03
2025-03-05
