Hsinchu, Taiwan - March 3, 2025 - 台灣馬偕紀念醫院於2025/02/09突遭大規模勒索軟體攻擊,導致臺北與淡水兩院區的急診與門診系統嚴重受影響,超過500台電腦遭到加密,嚴重影響醫療運作。

此次攻擊源於一名員工不慎將USB隨身硬碟插入醫院內部電腦,導致院內系統感染CrazyHunter勒索軟體。該惡意軟體是採用 BYOVD (Bring Your Own Vulnerable Driver) 技術,濫用合法驅動程式 zam64.sys(Zemana AntiMalware driver) 來提升權限,進而停用端點防護系統 (EDR), 並透過弱密碼嘗試攻擊獲取 Microsoft AD 帳號權限,在網路內部大規模部署勒索軟體,最終影響醫院內部電腦與系統的正常運作。

針對此次事件中的 CrazyHunter 勒索病毒和勒索軟體所利用的驅動程式 zam64.sys,已在我們的DPI網路安全內容檢測特徵碼資料庫中(見下列表),可在裝設有Lionic DPI技術的產品中,有效偵測阻擋。

為防止類似事件再度發生,我們建議:

  1. 加強員工資安教育,從根本上提升整體防禦能力
  2. 從外部帶進來的 USB 需要先掃毒,並且不要執行不安全的檔案
  3. 開啟Microsoft AD帳號的雙因子認證和採用強密碼原則
  4. 在Microsoft AD Server和網路出口前面,布建有防毒防駭客功能的Router/UTM

以下是此次事件的IOC

MD5:

f45cc69f74f75a707a02d26ccd912845        
9fe3322dd4fc35d1ed510bf715dae814        
7f3d07220529742bdc1827186b73666a        
b7a812586c037ca8d41968842a211b8a        
ee8c636dc0b6c96d41dd61f38bf2066f        
ca257aaa1ded22ca22086b9e95cb456d        
9e45ab7d2d942a575b2f902cccfb3839        
da1a93627cec6665ae28baaf23ff27c5        
6a70c22a5778eaa433b6ce44513068da        
2a3ce41bb2a7894d939fbd1b20dae5a0       

SHA1:

086262abb7e85c43ffb6c384966d130ca612169b
0937377d1ef1d47a04f1e55d929fe79c313d7640
096e4141b1c92b4ab861d8aae44024fd5737f760
318a601a5d758dd870c38b8c4792a2c3405e6c28
605fcba03de970d889d4cbfd4ce493cf96ac30c2
79c3fd97d33e114f8681c565f983cd8b8f9d8d93
9e126627dff082000a830b8e2e04206ced8663ff
b6737248f7baed88177658598002df5433155450
bed4229e774f136e1898fad9d37bd96e9156369e
cd248648eafca6ef77c1b76237a6482f449f13be

SHA256:
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參考資訊:

  • iThome: 2025年2月馬偕醫院遭勒索軟體攻擊事件歷程總整理(https://www.ithomeme.com.tw/news/167327)
  • 衛福部: 近期部分醫院遭勒索病毒攻擊,請各院加強戒備(https://hisac.nat.gov.tw/news?265)

關於鴻璟科技

鴻璟科技(Lionic)是一家全球性的創新深度封包檢測技術供應商,鴻璟科技的技術包括 深度封包檢測 (DPI, Deep Packet Inspection) 核心和基於該核心的應用軟體,這些應用包括 網路安全解決方案 ( 涵蓋 防電腦病毒、防駭客入侵 和 阻擋惡意網站 ) 及 內容管理解決方案 ( 涵蓋 應用識別、設備識別、智慧頻寬調整、網頁分類 和 家長管控 )。 鴻璟科技的網路安全和內容管理解決方案、雲端掃描服務 及 特徵碼訂閱服務 已廣泛部署於全球。