來自中國的駭客CrazyHunter從今年（2025）2月起，陸續針對台灣醫學中心發動「系統性攻擊」。攻擊首先鎖定馬偕醫院，導致核心醫令系統與掛號系統停擺，隨後擴大至彰化基督教醫院及其他企業等。駭客不僅加密檔案勒索，更竊取了大量病患病歷、醫護人員個資及手術紀錄，並將之公布於網路上，導致台灣首宗「特種資料」外洩風暴的產生。

第一目標：馬偕
這起攻擊行動的源頭，要向前回溯到2月6日晚間。

正當大眾還沉浸在新年節慶的餘韻時，名為CrazyHunter的駭客悄悄摸進了馬偕醫院的系統裡，他小心地偵查、刺探龐大的醫院內部網路，並在一天後鎖定漏洞，鑽進擁有眾多權限管理權的AD主機內（註1）。隨著這樣的關鍵資安核心遭到攻陷，駭客還將自己使用的軟體偽裝成印表機驅動程式來躲避防毒軟體偵測，成功滲透進馬偕醫院台北院區和淡水院區的600多台電腦內，並開始大量散布如crazyhunter.exe的惡意程式（註2），將接觸到的大量檔案統統加密上鎖。

註1：Active Directory (AD) 是一種目錄服務，用於儲存與列出組織在Windows 網路環境中的相關訊息，例如：裝置、應用程式、使用者、使用者的帳戶（姓名、電話號碼、密碼等），讓系統管理員和使用者可以尋找和使用這些資訊。

企業員工在使用的公司電腦開機後，通常會被要求輸入網域、帳號及密碼，才能存取網路公用資料夾，或是列印文件，並且會受到群組原則（Group Policy）的約束，每3個月必須更換一次密碼，這些機制的背後，其實都與AD網域的帳號認證有關。

註2：本案的惡意程式名稱如下：

bb.exe

crazyhunter.exe

crazyhunter.sys

zam64.sys

go3.exe

go.exe

「您的所有文件都已加密！你必須支付比特幣支付解密費用，價格取決於你寫信給我們的速度。對不起竊取了你們醫院所有的數據，包含PACS、EMR、HIS和全院醫護人員個資、官方文件數據等。我知道你們有備份軟體，但這無法防止國際新聞的出現、敏感個資的外洩和社會影響力的損失；如果您不與我們合作，我們將公開所有數據、資訊和內部網路資訊。那時您面臨的不僅是處理勒索軟體事件，可能會受到社會譴責，或是更強大的組織再次攻擊。」

面對威脅，馬偕醫院資訊室除了通報衛生福利部外，30多位資訊人員開始臨場應變，他們奔走在急診室和護理站之間，更換每一台遭受感染的電腦。看診也跟著回歸傳統，醫師手寫醫囑，走出診間在放射科室用投影片和病患講解病情，甚至將備存多年未曾使用的紙本病歷從檔案庫中翻出預備應急。好在數個小時努力後，系統暫時回歸穩定。

「你好，我是crazy hunters。由於你們IT部門無能，我入侵了淡水和台北所醫院的伺服器，並且批量發送勒索病毒。不幸的是，72小時過去了，你們的IT部門沒有聯絡我，他們或許認為這是一件小事⋯⋯既然如此，我決定把這件事情公諸於世，為了驗證我沒有說謊，所以我會送一份小禮物。」

深入且廣泛的攻擊，使得2到3月期間，馬偕院內系統幾乎成為駭客的遊樂場。一名資深醫師向我們形容，大家甚至都不清楚攻擊是否還在持續，是系統重建的延遲還是駭客還潛伏在某處？有時護理長會站出來，跟大家講某天的11點攻擊會再度發生，然後系統就真的短暫當機，直到資訊人員出面問題才解決。

實際上，為了防堵駭客的不斷進攻，馬偕幾乎是傾盡全力在防守。鄭聰貴向我們解釋，攻擊發生後醫院除了召開會議決定不支付贖金外，也緊急花費1,000萬元採購「端點防護軟體」全院布建，試圖提前預警每一次攻擊。另一方面，為了控制病毒擴散，馬偕更援引處置COVID-19疫情時的經驗推動「分艙分流」──將不同院區之間的網路分隔，並加強重要主機的保護隔離。

第二目標：彰基
就在攻擊發生的2月中旬，馬偕醫院曾立即向政府進行資安通報，並由數位發展部資通安全署派員進駐來協助調查與復原。同時，馬偕資訊室也將遇襲的經驗、駭客使用的工具、入侵手法等初步研究回報給衛福部資訊處，再由公機關向旗下數十家醫療機構進行安全宣導與機會教育，希望能避免類似事件再次發生。

然而這不僅沒有擋住駭客的腳步，也沒有讓其餘醫療機構即時上緊發條。戰場急速擴大，讓雲林、彰化、南投唯一的醫學中心──彰化基督教醫院（簡稱彰基）也淪陷。

3月至4月期間，這個駭客組織陸續將魔爪伸向其餘醫院和上市櫃企業，包括亞洲大學附設醫院、華城電機、科定企業、喬山健康科技等。3月31日，屬同集團的3家科技公司振曜科技（Netronix）、沛亨半導體（Analog Integrations）、東荃科技（Zunidata Systems）也紛紛發布資安重訊說明遭駭。其中，振曜科技的網站首頁更是遭到惡意置換，駭客聲稱加密了受害者所有的系統、覆寫與刪除了備份，更竊取了800 GB的資料，要求對方支付數十萬美元贖金。

APT為「進階持續性威脅」（Advanced Persistent Threat）的簡稱，其透過未經授權的方式，長時間執行廣泛且持續的攻擊。其入侵方式與傳統惡意軟體相似，一旦得逞，就會隱藏行蹤，在網路內植入攻擊軟體，並在數個月甚或數年內，不間斷地擷取資料。

「雙重勒索」（Double Extortion），過去幾年被大量網路犯罪分子運用。一旦入侵成功，攻擊者會先偷取被害人的大量敏感資料，並同時將其電腦中的檔案上鎖要求贖金；倘若被害人無動於衷，攻擊者則會祭出更多手段，包含使用分散式阻斷服務（DDoS）攻擊、聯繫被害人的相關客戶、使關鍵基礎設施暫時失靈、或甚至公開部分資料來提高取得贖金的可能性。最終，這些盜取的數據還會出現在各種論壇或暗網上，成為待價而沽的拍賣標的。

早在2月28日，在駭客常用的論壇Breach Forums上，就有名為CrazyHunter帳號開價10萬美元在兜售馬偕醫院病患的個資。這批32.5 GB大小的「商品」內，含有1,660萬筆病人資訊，範圍涵蓋馬偕台北、淡水、新竹、台東院區，以及台北與新竹的兒童醫院在內。

我們爬梳了這份資料中的樣本，發現當中的確包含馬偕醫院4個院區內，各1萬筆病患的姓名、身分證字號、手機、地址和檢驗紀錄、就診科別等。對此，一度否認資料外洩的馬偕發布聲明指出，外洩認定將交由檢調調查，不再對外說明。該院資訊室在接受我們訪問時則強調，經過對比其中部分資料確實屬於馬偕，但後端也出現欄位不符的狀況，在各單位資料交換頻繁的狀態下，很難確定病歷是從馬偕直接流出。

即便如此，根據行政院個人資料保護委員會籌備處說明，如病歷、醫療、基因、性生活、健康檢查及犯罪前科等6種個人資料，統稱為「特種（敏感）資料」。這些資料因為性質較為特殊或具敏感性，如任意蒐集、處理或利用，恐會造成社會不安或對當事人造成難以彌補之傷害，因此有較嚴格之蒐集、處理或利用要件。

3月12日，CrazyHunter為了加大威嚇力道，陸續又在暗網架設了專屬網站來公布相關證據。罩著帽T的黑色駭客圖示下，他們詳細列出其被害者名單、入侵過程以及相關勒索金額。其中，被害單位橫跨醫療、學術與製造業等8個單位，索取金額則在80萬至150萬美元之間；配合不斷倒數的計時器，CrazyHunter聲稱其採用的混合攻擊策略能在72小時內攻破目標單位的防線。

就在暗網網站成立不到兩週後，我們發現特種資料的外洩不僅於此─一份標明為CCH彰基的詳細資料包被駭客公布在第三方雲端空間Mega中，且最後更新的時間就停在今年3月初，駭侵事件發生的當下。