事件说明 2025年2月9日(周日)~11日(周二),马偕纪念医院传出连续数日遭勒索软体攻击的事件。
卫生福利部资安资讯分享与分析中心(H-ISAC)在2月11日发布警讯,说明有医院遭受勒索软体CrazyHunter攻击,请各院加强戒备,卫生福利部资讯处处长李建璋亦表示确有此事,且因为骇客扬言将持续对医院发动攻击,因此卫福部已与资安署合作成立快速反应小组,进驻马偕医院,以协助因应持续到来的攻击,特别的是,这次也是卫福部与资安署的首次合作。
马偕纪念医院亦在11日下午发布这次事件新闻稿,说明该院在2月9日发现系统异常,当下启动应变机制、通报卫福部H-ISAC、向调查局台北市调查处报案,并说明这次遭受骇客攻击影响范围主要是台北淡水两区急诊室。
受害状况/影响
根据消息人士说明,事故因应从2月9日(周日)开始,马偕医院受影响电脑多达600多台,攻击者并留下勒索赎金的讯息。
卫福部在2月11日发布新闻,关于台湾北部医学中心遭受勒索软体攻击,攻击的形式为加密医院个人档案,让病患资料无法开启,电脑病毒陆续蔓延,导致医院门诊看急诊系统500多台电脑当机。
马偕医院2月11日发布声明稿,该院指出:2月9日发现系统异常已经应变、通报与报案,初步调查显示,影响范围主要为北淡两区急诊室,因即时应变得宜,当日已恢复正常,目前未有病人个资外泄之虞,医疗作业均正常运作。
受害原因
攻击者的入侵管道尚未得知,但初步调查结果中,已揭露攻击过程中采用的手法。
●卫生福利部资讯处处长李建璋表示,这次网路攻击事件的确是遭CrazyHunter这支勒索软体攻击,事故从2月9日开始,目前调查出,攻击者在入侵过程中会从AD管道下手,透过弱密码尝试取得帐号权限,进而透过GPO派送方式发动大范围勒索加密攻击。(2025-02-11)
●H-ISAC的公告内容指出,目前已知攻击路径为AD主机并派送恶意程式,恶意程式名称如下:(1)bb.exe,(2)crazyhunter.exe,(3)crazyhunter.sys,(4)zam64.sys,(5)go3.exe,(6)go。(2025-02-11)
●奥义智慧表示,他们近期侦测到 Hunter Ransom Group针对医疗机构发动勒索攻击。根据情资显示,该勒索组织主要攻击手法包括渗透企业内网并利用SharpGPOAbuse滥用Microsoft AD GPO,进一步在 Domain 内部扩散并加密系统档案。此外,攻击者采用 BYOVD (Bring-Your-Own-Vulnerable-Driver) 提权攻击技术,利用 Zemana Driver(原为恶意软体防护工具 ZAM 的合法数位签章驱动程式)。然而,此驱动程式已被骇客发现可利用漏洞,进行系统权限提升攻击(MITRE ATT&CK ID: T1068, Exploitation for Privilege Escalation),进而绕过传统防毒软体的侦测与防护,最终加密档案并造成重大损失。(2025-02-12)
勒索软体/恶意软体分析
●卫福部提供:
档案名称
SHA256 Hash
av-1m.exe
EE854E9F98D0DF34C34551819889336C16B9BFE76E391356CB17B55D59CF28CF
av.exe
3B2081042038C870B1A52C5D5BE965B03B8DD1C2E6D1B56E5EBB7CF3C157138D
bb.exe
2CC975FDB21F6DD20775AA52C7B3DB6866C50761E22338B08FFC7F7748B2ACAA
crazyhunter.exe
F72C03D37DB77E8C6959B293CE81D009BF1C85F7D3BDAA4F873D3241833C146B
crazyhunter.sys
5316060745271723C9934047155DAE95A3920CB6343CA08C93531E1C235861BA
go.exe
754D5C0C494099B72C050E745DDE45EE4F6195C1F559A0F3A0FDDBA353004DB6
go2.exe
983F5346756D61FEC35DF3E6E773FF43973EB96AABAA8094DCBFB5CA17821C81
go3.exe
F72C03D37DB77E8C6959B293CE81D009BF1C85F7D3BDAA4F873D3241833C146B
ru.bat
15160416EC919E0B1A9F2C0DC8D8DC044F696B5B4F94A73EC2AC9D61DBC98D32
ru.bat
731906E699ADDC79E674AB5713C44B917B35CB1EABF11B94C0E9AD954CB1C666
zam64.sys
2BBC6B9DD5E6D0327250B32305BE20C89B19B56D33A096522EE33F22D8C82FF1
zam64.sys
BDF05106F456EE56F97D3EE08E9548C575FC3188AC15C5CE00492E4378045825
ta.bat
527ED180062E2D92B17FF72EA546BB5F8A85AD8B495E5B0C08B6637B9998ACF2
CrazeHunter.zip
D202B3E3E55DF4E424F497BA864AB772BAAF2B8FE10B578C640477F8A8A8610C
●资安业者Any.Run分析资讯
●2025-02-11 11日下午,马偕医院遭勒索软体攻击一事受到多家媒体报导。
2025-02-12 奥义智慧说明攻击者采用 BYOVD (Bring-Your-Own-Vulnerable-Driver) 提权攻击技术,并指出攻击者身份为Hunter ransom骇客族群。
相关资讯
是谁使用CrazyHunter这支勒索软体程式发动攻击?我们在2月12日询问奥义智慧,他们表示,研判是名为Hunter ransom的骇客族群所为。
这个骇客组织是否与另一骇客组织Hunter international有关?奥义智慧向我们解释,两者并不相同,Hunter ransom的前身是用prince ransomware去改的,加密后附档名会变成.hunter,而Hunter international勒索软体组织是接手已遭美国FBI瓦解的Hive勒索软体的程式码,其加密后的附档名是.locked
应变措施
●马偕纪念医院:2月9日发现系统异常,立即启动资安紧急应变作业流程并同步通报卫福部资安联防平台(H-ISAC)及向调查局局台北市调查处报案,未来将全力配合调查,至于恐吓信内容因案件正在侦查中,故不予公开。
●卫生福利部资讯处处长李建璋:由于骇客一在扬言要再次发动攻击,有3项因应措施:(一)卫福部与数位发展部资通安全署(资安署)合作,针对此次医院遭攻击事件已成立快速反应小组,并且进驻马偕医院。这是首次直接请专家进驻协助医院防守:(二)由于各家医院的电脑设备多半都有安装防毒软体,但有些医院可能因为资源关系,还没有部署端点侦测及回应(EDR)产品,又或是仍使用老旧缺乏安全更新的作业系统,因此卫福部将提供这方面的协助,协调厂商(微软)提供2到3个月的免费试用,来补强骇客攻击的行为侦测与拦阻,暂时因应危险期;(三)卫福部通知各家医疗院所加强防护,注意网段要确实隔离、将防毒软体更新至最新版本,同时也提供这次攻击事件的入侵侦测指标(IoC),让其他医院可识别攻击是否已经发生或正在进行。