資安大危機!中國駭客癱瘓、勒索台灣醫院 病患個資竟淪為商品
即時中心/高睿鴻報導
今(2025)年2月起,我國多個醫學中心接連遭駭客攻擊,受害者包括馬偕、彰化基督教醫院、企業等,且進攻手段相當全面;除了盜取大量病患、醫護人員個資、甚至對重要文件及系統「加密上鎖」,讓醫師竟無法對病患開出用藥醫囑。後來發現,攻擊對象疑似為來自中國的駭客「CrazyHunter」,我國調查局趕緊介入偵辦;日前,此駭客集團被偵破,調查局說明,嫌犯不僅有多人,且包含中國人與台灣人。
今年年初,陸續有多間醫學中心、學校、企業等公共機構,遭到署名「CrazyHunter」的駭客入侵。據媒體綜合報導,駭客的手段囂張且靈活,例如,先採用偽裝成印表機驅動程式的軟體,滲透馬偕醫院上百台電腦內、成功騙過防毒軟體偵測;隨後,大量散播crazyhunter.exe的惡意程式,然後將接觸到的檔案,全都「加密上鎖」。
其中,就包括與病人權益相關的醫令系統(Computerized Provider Order Entry),同樣遭到駭客封鎖加密;從2月9日晚間,病人的電子病歷全部無法開啟、醫生也無法開出用藥醫囑、就連掛號系統也徹底停擺。沒想到,數日後駭客再度發動攻擊,不僅盜取醫院工作人員信箱、還到處發送威脅信件,甚至還在信中「附贈」同步盜走的病患病歷、醫師個資等。
更囂張的是,根據媒體《報導者》指出,駭客還非常囂張地多次寄信恐嚇、勒索。以馬偕為例,醫院收到的信件中提到:「您的所有文件都已加密!你必須支付比特幣支付解密費用,價格取決於你寫信給我們的速度。對不起竊取了你們醫院所有的數據,包含PACS、EMR、HIS和全院醫護人員個資、官方文件數據等。我知道你們有備份軟體,但這無法防止國際新聞的出現、敏感個資的外洩和社會影響力的損失;如果您不與我們合作,我們將公開所有數據、資訊和內部網路資訊。那時您面臨的不僅是處理勒索軟體事件,可能會受到社會譴責,或是更強大的組織再次攻擊」。
數日後,駭客再次寄送威脅信,這次提到:「你好,我是crazy hunters。由於你們IT部門無能,我入侵了淡水和台北所醫院的伺服器,並且批量發送勒索病毒。不幸的是,72小時過去了,你們的IT部門沒有聯絡我,他們或許認為這是一件小事⋯⋯既然如此,我決定把這件事情公諸於世,為了驗證我沒有說謊,所以我會送一份小禮物」。
就在多間醫院遭逢攻擊後,大約3至4月期間,輪到其它大公司遭殃。亞洲大學附設醫院、華城電機、科定企業、喬山健康、振曜科技、東荃科技、沛亨半導體等企業,也都紛紛慘遭攻擊;作案手段包括惡意置換網站、加密上鎖系統、刪除及竊取機密資料、癱瘓軟體功能、勒索要求贖金等。
更離譜的是,「CrazyHunter」事後還在暗網、駭客論壇等地,販售盜取得來的病患個資、機密資訊等資料。例如,2月28日,該駭客集團就以10萬美元的價格,兜售馬偕醫院病患個資;而這份「包裹」內含上千萬筆病人個資,馬偕各大醫院皆遭攻陷。《報導者》也指出,彰基醫院的會診紀錄、健保申報、員工及人事資料、手術紀錄、從院長到實習生的個資、病例、病人個資,全都成為販售商品,資料高達數百萬筆。
不僅如此,「CrazyHunter」更在暗往大肆散播,如何成功作案、並取得這些資料、以及勒索內容。如此囂張的作案手段,讓調查單位趕緊介入,並於4月、也就是馬偕等醫院報警後的兩個月,刑事局宣布,駭客確定有1名來自中國浙江省的20歲羅姓男子。但隨著調查單位繼續追案,發現「CrazyHunter」並非單獨作案者,而是1個集團。
法務部調查局日前說明,已正式偵破此犯罪集團。調查局說明,該集團陸續攻擊我國重要醫療機構及企業、並展開加密勒索,恐嚇要求給付贖金。北檢介入偵辦後,經科技偵蒐查,確認駭客成員包括中國籍羅男、徐男,販售資料成員則有中國籍趙男、台灣籍劉男、鄭男。後兩者目前已遭逮獲,另幾人仍在通緝中。
調查局指出,專案人員於5月至8月間,會同資安工作站、花蓮縣調查站同仁執行3波搜索,約談犯罪嫌疑人鄭男、並將案發後潛逃出境之劉男,於返國時拘提到案。並且,查扣電腦設備存有數萬筆大批國內、外民眾個資檔案,以及與CrazyHunter集團交易跡證,涉犯非法蒐集、處理、利用個資等罪嫌,經檢察官複訊後,判定交保並限制出境。
另外,中國籍人士羅男、徐男及趙男,也將一併依涉犯刑法妨害電腦使用、恐嚇取財及個資法等罪嫌,移送臺北地檢署偵辦。
調查局呼籲,面對國際駭客頻繁攻擊,公私部門應緊密合作,除加強所屬人員教育訓練外,宜儘速建立或加入資安聯防體系,交流接收國內、外跨領域情資,及早防範資安威脅,例如導入入侵指標(Indicators of Compromise,IOC),以提升偵測與防禦能力,阻止已知惡意活動。如正遭受駭侵攻擊,宜立即斷網及修改密碼,澈底盤查疑似受駭設備,尋求專業資安廠商協助,保留相關數位跡證,並評估向司法機關報案,俾追訴犯罪。