【雲智維資安威脅趨勢】
資安威脅趨勢 - 醫院遭CrazyHunter勒索軟體持續攻擊
一、摘要
2025年2月9日至11日,OO醫院、遭受CrazyHunter勒索軟體攻擊,導致超過600台電腦受影響,掛號系統中斷,影響病患就醫。駭客透過AD主機發動攻擊,利用弱密碼取得權限並進行大範圍加密勒索
二、存在風險
此次攻擊事件對OO醫院的急診室與掛號系統已受到影響,雖然醫療作業仍可運行,但若攻擊持續,可能導致更大範圍的醫療業務受影響,甚至影響病患的就醫權益。
雖然目前尚未發現病人個資外洩,但勒索軟體的攻擊特性通常涉及數據加密與竊取,醫療數據可能面臨被竊取、加密或公開的風險。
更值得關注的是,駭客已揚言將於2月11日傍晚進一步發動攻擊,顯示此次攻擊可能具有持續性,甚至擴大至其他醫療機構。
- 攻擊方式:
- 透過Active Directory(AD)主機發送惡意程式
- 弱密碼漏洞攻擊取得帳號權限
- 部署CrazyHunter勒索軟體進行檔案加密
- IOC :
- av-1m.exe
- EE854E9F98D0DF34C34551819889336C16B9BFE76E391356CB17B55D59CF28CF
- av.exe
- 3B2081042038C870B1A52C5D5BE965B03B8DD1C2E6D1B56E5EBB7CF3C157138D
- bb.exe
- 2CC975FDB21F6DD20775AA52C7B3DB6866C50761E22338B08FFC7F7748B2ACAA
- crazyhunter.exe
- F72C03D37DB77E8C6959B293CE81D009BF1C85F7D3BDAA4F873D3241833C146B
- crazyhunter.sys
- 5316060745271723C9934047155DAE95A3920CB6343CA08C93531E1C235861BA
- CrazeHunter.zip
- D202B3E3E55DF4E424F497BA864AB772BAAF2B8FE10B578C640477F8A8A8610C
- zam64.sys
- 2BBC6B9DD5E6D0327250B32305BE20C89B19B56D33A096522EE33F22D8C82FF1
- BDF05106F456EE56F97D3EE08E9548C575FC3188AC15C5CE00492E4378045825
- go.exe
- 754D5C0C494099B72C050E745DDE45EE4F6195C1F559A0F3A0FDDBA353004DB6
- go2.exe
- 983F5346756D61FEC35DF3E6E773FF43973EB96AABAA8094DCBFB5CA17821C81
- go3.exe
- F72C03D37DB77E8C6959B293CE81D009BF1C85F7D3BDAA4F873D3241833C146B
- ru.bat
- 15160416EC919E0B1A9F2C0DC8D8DC044F696B5B4F94A73EC2AC9D61DBC98D32
- 731906E699ADDC79E674AB5713C44B917B35CB1EABF11B94C0E9AD954CB1C666
- ta.bat
- 527ED180062E2D92B17FF72EA546BB5F8A85AD8B495E5B0C08B6637B9998ACF2
- 建議改善措施:
- 將 Hash 加至端點防禦設施,進行盤點及移除
- 強化AD帳號密碼策略,避免使用弱密碼
- 更新防毒軟體與EDR,提升威脅偵測能力
- 落實內網網段隔離,防止攻擊橫向移動
- 定期備份重要資料,確保可快速復原
- 儘速導入雲智維服務,進行資安威脅情資偵測與聯防,降低企業資安風險。
情資報告連結:
https://hisac.nat.gov.tw/news?265
IOC_CrazyHunter勒索病毒_情資.xlsx