Under en tolvmånadersperiod analyserade TrendAI-forskare 7 779 inlägg i underjordiska forum, 21 813 marknadsplatsannonser och 95 ransomware-läckagewebbplatser med anknytning till cyberbrottslighet inom hälsosektorn. Resultaten visar att hälsodata fortfarande är bland de mest eftertraktade tillgångarna som handlas i den kriminella underjorden. Deras varaktighet, känslighet och möjligheten att använda dem för olika former av bedrägeri och utpressning gör dem särskilt attraktiva för kriminella.
Ransomware som drivkraft för den undre handeln
Datasäljarna från ransomware-händelser stod för mer än en tredjedel (36,3 procent) av all marknadsplatsaktivitet. Ransomware-aktörer kombinerar i allt högre grad kryptering med datastöld och utpressning. Dessutom identifierade forskarna en växande inriktning mot leverantörer av elektroniska patientjournaler. En enda framgångsrik attack kan därefter kompromettera hundratals hälsovårdsanläggningar nedströms.
Rapporten visar också att cyberkriminella inte längre begränsar sig till att sälja kompletta dataset. På underjordiska marknadsplatser används hälsodata alltmer som grund för identitetsstöld, försäkringsbedrägeri, förfalskade intyg och recept samt övertagande av patient- och personal-konton. Detta gör det möjligt att monetarisera stulna dataset flera gånger under åren.
"Hälsodata har förvandlats från stulen information till tillgångar som cyberkriminella kan utnyttja långsiktigt", förklarar Mayra Rosario, Senior Threat Researcher vid TrendAI. "Till skillnad från ett kreditkort kan man inte bara blockera och utfärda på nytt diagnoser, behandlingshistorik eller biometriska data hos en patient – vilket gör dem särskilt attraktiva för ransomware-grupper och datahandlare."
Från ensam gärningsman till kriminell leveranskedja
Studien belyser också den pågående industrialiseringen av cyberbrottslighet inom hälsosektorn: Underjordiska marknadsplatser erbjuder nu ett brett spektrum – från inloggningsuppgifter till sjukhusnätverk och försäkringsdata till kompletta identitetspaket och förfalskade medicinska dokument.
Särskilt stark är tillväxten av så kallade Initial Access Brokers. Dessa specialiserade aktörer får tillgång till nätverk från sjukhus, kliniker eller vårdgivare och säljer sedan denna åtkomst vidare till ransomware-grupper eller andra cyberkriminella. Arbetsfördelningen sänker startbarriärerna för angripare och påskyndar kommersialiseringen av attacker på hälsoinrättningar.
"Vad vi bevittnar är inga isolerade fall, utan en avancerad underjordisk ekonomi som medvetet byggs upp kring cyberangrepp på hälsosektorn", säger Dirk Arendt, Director Government, Public and Healthcare DACH vid TrendAI. "Aktuella incidenter i Tyskland och världen över visar tydligt hur mycket patientdata står i fokus för cyberkriminella och måste skyddas bättre."
Programvaruleverantörer som inkörsport: Risk med multiplikatoreffekt
Studien varnar även för att leveranskedjekompromisser genom programvaruleverantörer och medicinska plattformar kan bli en central riskförstärkare för hela sektorn. Dessa möjliggör att angripare kan skala upp sina operationer långt utanför enskilda sjukhus eller kliniker.
Världen över oskyddade system för medicinsk bildbehandling
Parallellt identifierade TrendAI-forskare betydande risker hos medicinska bildsystem som är anslutna till internet. En separat undersökning fann globalt 3 627 publikt tillgängliga DICOM-servrar i mer än 100 länder. DICOM (Digital Imaging and Communications in Medicine) är den centrala standarden för utbyte av medicinska bilddata som MRT-, CT- eller röntgenbilder.
Det visade sig vara särskilt kritiskt att DICOM visserligen länge har stött säkerhetsmekanismer som kryptering, autentisering och åtkomstkontroller, men att dessa knappast används i praktiken. Endast 0,14 procent av de identifierade systemen använde föreskriven TLS-kryptering, medan 99,56 procent accepterade anslutningar utan giltig autentisering. Rapporten varnar för att angripare därmed kan spionera ut patientdata, manipulera medicinska bilddata, införa ransomware eller röra sig lateralt i sjukhusnätverk.
Ytterligare information
Den fullständiga rapporten The Cybercriminal Underground: Mapping the Healthcare Data Economy finns här: https://www.trendaisecurity.com/de/resources-insights/research/the-cybercriminal-underground- mapping-the-healthcare-data-economy
Den fullständiga rapporten Exposed DICOM Servers and the Risk to Patient Data finns här: https://www.trendmicro.com/vinfo/de/security/news/cybercrime-and- digital-threats/a-hidden-vulnerability-in-healthcare-exposed-dicom-servers-and-the-risk-to-patient- data
Presskontakter TrendAI™
c/o BRAND AFFAIRS AG
Mischa Keller
MSc Business Administration Partner
Telefon: +41 44 254 80 00
E-Mail: trendmicro-media@brandaffairs.ch
Mühlebachstrasse 8
8008 Zürich
Schweiz