臺灣接連發生遭CrazyHunter勒索軟體攻擊的事件，從2月馬偕醫院、3月彰基醫院受害以來，接續又有國內多家上市櫃公司遇害，由於這些攻擊專門鎖定臺灣攻擊，特別是醫院，情況相當嚴峻，也令民眾憂心。4月2日刑事警察局宣布取得重大突破，首次揭露了勒索軟體攻擊的幕後真兇。
刑事警察局科技犯罪防制中心主任林建隆在記者會上表示，自2月6日馬偕紀念醫院遭攻擊並報案後，他們聯合刑警大隊科技偵查隊成立專案小組偵辦，如今調查出犯嫌是一名20歲的中國浙江籍羅姓駭客。
關於目前司法程序的進度是，專案小組已在3月31日將調查結果移送臺灣地方檢察署偵辦，地檢署已發布通緝。
他並強調，以往很多網路攻擊案件，雖然查出攻擊來源是中國，但不知道真兇是誰，這是他們第一次能夠關聯出攻擊者真實身分。
對於如何追蹤到駭客真實身分，林建隆雖然沒有透露太多細節，但也簡單說明。這一個多月來，他們綜整並分析多起案件的資訊，從駭客入侵來源IP位址、使用工具、攻擊手法與惡意程式等，進而掌握到攻擊者身分，並查出金流等電磁紀錄，也發現駭客運用VPN/VPS等方式來隱匿身分。
林建隆強調，地檢署現已發布通緝，這顯示偵查結果已掌握明確的犯罪事證。而另一大關鍵，就是追查出犯嫌真實年籍資料，才能順利發布通緝。
由於攻擊者目前位於境外，後續警方將依據《海峽兩岸共同打擊犯罪及司法互助協議》，尋求中國的協助追查。只是能否真的跨國逮捕歸案需要運氣，但不可否認的是，相比過去勒索軟體犯罪的偵辦，總是由歐美國家主導，臺灣警方能以專業技術更清楚辨識出幕後攻擊的真實身分，可堪稱是全球勒索軟體防護上的一大突破。

攻擊者仍可能持續犯案，企業需重視已知漏洞防護與情資聯防

值得我國企業組織關注的是，刑事局表示，這次CrazyHunter的攻擊是以相當外顯的方式進行，主要以賺錢為目的，不同於國家資助駭客組織發動的攻擊通常是網路間諜行動，暗中竊取機敏資訊，不讓受害企業政府知曉。
因此，雖然這次能夠揪出幕後真實身分，但刑事局強調，該嫌能夠成功入侵多家企業組織，顯示其攻擊手法仍有一定的破壞力，而且仍逍遙法外，因此國內民間企業、醫院或政府機關都不可鬆懈。
林建隆提醒，在這次偵辦中，專案小組發現攻擊者多半利用已知系統漏洞來入侵，而且每起事件利用不同已知漏洞。
因此，資安弱點的管理相當重要，還有其他防護工作同樣要重視，包括：EDR的部署、高權限帳號的保護，以及備份要能妥善。
此外，不僅刑事局在偵辦此網路攻擊案件，事實上資安署、衛福部也持續在強調資安聯防重要性。例如，TWCERT/CC先前制定「勒索軟體防護的事前、事中與事後指南」，近期衛福部也發布「醫院面對勒索軟體攻擊的應變指南」。
林建隆認為，過去可能大家沒有關注這些訊息，因此他們也希望藉著這次調查結果公開，喚起大家對於這方面的重視，包括事前的預防該怎麼做，以及事件發生時，事中的應變、事後的恢復，對於企業組織而言，將可用以檢視哪些已經做到、哪些還沒有做。
刑事局表示，駭客於暗網設立以CrazyHunter Team為名的資料外洩恐嚇網站，其宣稱受害者都是臺灣的組織與企業，目的是顯現他們的戰績，同時也意圖造成民眾心理恐慌。據駭客聲稱內容顯示，國內已有兩家受害企業支付贖金，公開的勒索金額則在80萬至250萬美元。
關於受害者方面，目前外界傳出已有11家國內企業組織受害，林建隆表示，刑事局在31日移送地檢署偵辦時，已掌握國內有7家受害，CrazyHunter攻擊目標涵蓋學校、醫院、上市公司，包括亞洲大學、亞洲大學醫院、馬偕紀念醫院、華城電機、彰化基督教醫院、科定企業、喬山健康科技。
至於這幾天已經再有3家企業遭駭的消息，警方表示還在蒐集資料與研判中，因此現在還不能確認指出是同一攻擊者所為。
刑事警察局科技犯罪防制中心主任林建隆表示，此案犯嫌已經違反刑法妨害電腦使用罪、恐嚇取財罪及個人資料保護法，且駭侵攻擊對象為醫院、學校及上市公司，持續危害我國資安與治安。

資料來源：iThome