Hsinchu, Taiwan - March 3, 2025 - 2025年2月9日、台湾の馬偕記念病院は大規模なランサムウェア攻撃を受け、台北と淡水の両院区の救急および外来診療システムに深刻な影響を及ぼしました。500台以上のコンピューターが暗号化され、医療業務に重大な支障をもたらしました。
今回の攻撃は、ある職員が誤ってUSBメモリを病院内のコンピューターに接続したことにより発生し、院内システムが「CrazyHunter」ランサムウェアに感染しました。このマルウェアは BYOVD(Bring Your Own Vulnerable Driver) 技術を悪用し、正規のドライバ zam64.sys(Zemana AntiMalware ドライバ) を利用して権限を昇格させ、エンドポイント防御システム(EDR)を無効化しました。さらに、脆弱なパスワードを利用した攻撃により Microsoft AD アカウントの権限を取得 し、内部ネットワークにランサムウェアを大規模に感染させました。最終的に、病院内のコンピューターおよびシステムの稼働に深刻な影響を与えました。
今回の事件に関連する CrazyHunter ランサムウェアおよびランサムウェアが悪用した zam64.sys ドライバについては、すでに当社の DPIネットワークセキュリティコンテンツ検査シグネチャデータベース に登録済みです(以下のリストをご参照ください)。Lionic DPI 技術を搭載した製品 において、効果的に検出・ブロックすることが可能です。
同様の事件の再発を防ぐために、以下の対策を推奨します: 1. 従業員のセキュリティ教育を強化し、組織全体の防御力を根本的に向上させる 2. 外部から持ち込まれたUSBメモリは事前にウイルススキャンを実施し、不審なファイルを実行しない 3. Microsoft ADアカウントに多要素認証(MFA)を導入し、強力なパスワードポリシーを適用する 4. Microsoft ADサーバーおよびネットワークのゲートウェイに、ウイルス対策やハッキング防御機能を備えたルーター/UTMを導入するます
下記はIOCの詳しい情報です。
MD5:
f45cc69f74f75a707a02d26ccd912845
9fe3322dd4fc35d1ed510bf715dae814
7f3d07220529742bdc1827186b73666a
b7a812586c037ca8d41968842a211b8a
ee8c636dc0b6c96d41dd61f38bf2066f
ca257aaa1ded22ca22086b9e95cb456d
9e45ab7d2d942a575b2f902cccfb3839
da1a93627cec6665ae28baaf23ff27c5
6a70c22a5778eaa433b6ce44513068da
2a3ce41bb2a7894d939fbd1b20dae5a0
SHA1:
086262abb7e85c43ffb6c384966d130ca612169b
0937377d1ef1d47a04f1e55d929fe79c313d7640
096e4141b1c92b4ab861d8aae44024fd5737f760
318a601a5d758dd870c38b8c4792a2c3405e6c28
605fcba03de970d889d4cbfd4ce493cf96ac30c2
79c3fd97d33e114f8681c565f983cd8b8f9d8d93
9e126627dff082000a830b8e2e04206ced8663ff
b6737248f7baed88177658598002df5433155450
bed4229e774f136e1898fad9d37bd96e9156369e
cd248648eafca6ef77c1b76237a6482f449f13be
SHA256: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:
- iThome: A Summary of the MacKay Hospital Ransomware Attack in February 2025 (https://www.ithome.com.tw/news/167327)
- Ministry of Health and Welfare: Recent Ransomware Attacks on Some Hospitals, Requesting Increased Vigilance (https://hisac.nat.gov.tw/news?265)
Lionicについて
Lionic Corporationは、ディープ・パケット・インスペクション(Deep Packet Inspection、DPI)ソリューションを提供する世界的な企業です。Lionicの技術はDPIソフトエンジンとDPI技術を基に製作したアプリケーションと二種類が含まれます。アプリケーションはサイバーセキュリティソリューション(アンチウィルス、不正侵入防止、マルウェアサイト防止を含まれ)とコンテンツ管理ソリューション(アプリケーション認識、デバイス認識、アプリケーションベースのQoS、Webコンテンツフィルタリング、親子制御を含まれ)と含まれます。Lionicのセキュリティ、コンテンツ管理ソリューション、クラウドベースのスキャンサービス、シグネチャサブスクリプションサービスは、すでに世界中に広がっています。
