事件说明 2025年3月1日(周六)~3月2日(周日),彰化基督教医院传出遭勒索软体攻击的事件。
在3月3日,彰化基督教医院发布讯息说明骇客攻击彰基医学中心,并指出该院资讯工程师于3月1日(周六)开始侦测到有骇客攻击,紧急应变已经持续了两天,在3月3日已经恢复正常。卫生福利部资讯处长李建璋亦向国内媒体透露,卫福部已成立紧急应变小组协助。
值得注意的是,3月4日卫福部资讯处指出,彰化基督教医院也是遭遇CrazyHunter这支勒索软体攻击,与上个月hg7wx7t7.usw3.devtunnels.ms
注:IP/Domain为微软的,建议只对Domain进行监测
※补充资讯:由于卫生福利部指出这次网路攻击事件也是遭CrazyHunter这支勒索软体攻击,与上个月马偕事件相同,因此也可参考资讯:●●
事件时间轴
2025-03-01 彰化基督教医院在3月1日(周六)的二二八连假期间发现遭受侦测到有骇客攻击。
2025-03-03 彰化基督教医院发布消息揭露「骇客攻击彰基医学中心」一事,其内容也强调该院的资安作为,以及与为卫福部合作实战攻防演练,这起事故之后也引起多家媒体报导。
●(联合新闻网)
●(中央社)
●2025-03-04 卫福部资讯处发布新闻:2025-03-06 中芯数据发布彰化基督教医院遭遇勒索软体攻击事件IOC
相关资讯
是谁使用CrazyHunter这支勒索软体程式发动攻击?我们在2月12日马偕纪念医院遭遇攻击事故后询问奥义智慧,他们表示,研判是名为Hunter Ransom Group的骇客族群所为。
这个名为Hunter Ransom Group骇客组织,是否与另一骇客组织Hunter internationasl有关?奥义智慧向我们解释,两者并不相同,Hunter Ransom Group组织是用修改prince勒索软体而成,在经过恶意加密后,受害者副档名会变成.hunter,而Hunter internationals勒索软体组织是接手已遭美国FBI瓦解的Hive勒索软体的程式码,其加密后的副档名是.locked。
应变措施
●彰化基督教医院:
3月1日(周六)彰基资讯工程师开始侦测到有骇客攻击,紧急应变两天后,在3月3日已经恢复正常。
●卫生福利部资讯处:
(一)成立紧急应变小组协助彰化基督教医院
(二)鉴于连续两家医院都遭受CrazyHunter攻击,认为两起事故并非独立事件,因此卫福部资讯处已将此状况定调为「系统性攻击」事件。
(三)由于骇客可能再次对台湾医院发动攻击,资讯处在3月4日召集关键基础医院举行紧急会议,请经历资安事故的两家医院,分享勒索软体的清除与防御经验。
(四)卫生福利部资讯处HISAC发布「医院面对勒索软体攻击的应变指南」