Dane zdrowotne należą do najcenniejszych zasobów cyberprzestępczości

Przez okres dwunastu miesięcy badacze TrendAI przeanalizowali 7 779 wpisów na forach podziemnych, 21 813 ogłoszeń na rynkach oraz 95 stron wycieków ransomware związanych z cyberprzestępczością w sektorze ochrony zdrowia. Wyniki pokazują, że dane zdrowotne nadal są jednym z najbardziej pożądanych towarów handlowanych w przestępczym podziemiu. Ich trwałość, czułość oraz możliwość wykorzystania ich w różnych formach oszustwa i szantażu czynią je szczególnie atrakcyjnymi dla przestępców.

Ransomware jako napęd podziemnego handlu Sprzedaż danych z incydentów ransomware stanowiła ponad jedną trzecią (36,3 procent) całkowitej aktywności rynkowej. Aktywatorzy ransomware coraz częściej łączą szyfrowanie z kradzieżą danych i szantażem. Ponadto, badacze zidentyfikowali rosnącą koncentrację na dostawcach elektronicznych kart zdrowotnych. Jeden udany atak może wtedy skompromitować setki późniejszych placówek zdrowotnych.

Raport pokazuje również, że cyberprzestępcy nie ograniczają się już tylko do sprzedaży kompletnych zestawów danych. Na podziemnych rynkach dane zdrowotne coraz częściej stanowią podstawę dla kradzieży tożsamości, oszustw ubezpieczeniowych, fałszywych zaświadczeń i recept oraz przejęcia kont pacjentów i pracowników. Dzięki temu skradzione zestawy danych mogą być wielokrotnie monetyzowane przez lata.

„Dane zdrowotne przekształciły się z kradzionych informacji w aktywa, które cyberprzestępcy mogą wykorzystywać długoterminowo”, wyjaśnia Mayra Rosario, starszy badacz zagrożeń w TrendAI. „W przeciwieństwie do karty kredytowej, diagnozy, historie leczenia czy dane biometryczne pacjenta nie mogą być łatwo zablokowane i ponownie wydane - to sprawia, że są szczególnie atrakcyjne dla grup ransomware i handlarzy danymi.”

Od pojedynczego przestępcy do kryminalnego łańcucha dostaw Badanie również oświetla postępującą industrializację cyberprzestępczości w sektorze ochrony zdrowia: podziemne rynki oferują obecnie szeroki zakres - od danych dostępowych do sieci szpitalnych i ubezpieczeniowych po pełne pakiety tożsamości oraz fałszywe dokumenty medyczne.

Szczególnie dynamicznie rośnie rola tzw. Initial Access Broker. Ci wyspecjalizowani aktorzy zdobywają dostęp do sieci szpitali, klinik lub dostawców usług zdrowotnych i następnie sprzedają go grupom ransomware lub innym cyberprzestępcom. Podział pracy obniża bariery wejścia dla atakujących i przyspiesza komercjalizację ataków na placówki zdrowotne.

„To, co obserwujemy, to nie pojedyncze przypadki, ale rozwinięta podziemna gospodarka, która celowo zbudowana jest wokół cyberataków na sektor zdrowia”, mówi Dirk Arendt, dyrektor ds. rządowych, publicznych i ochrony zdrowia w regionie DACH w TrendAI. „Aktualne incydenty w Niemczech i na całym świecie pokazują wyraźnie, jak bardzo dane pacjentów znajdują się w centrum zainteresowania cyberprzestępców i muszą być koniecznie lepiej chronione.”

Dostawcy oprogramowania jako brama wejściowa: ryzyko z efektem mnożnikowym Badanie również ostrzega, że kompromitacje łańcucha dostaw przez dostawców oprogramowania i platformy medyczne stają się centralnym wzmocnieniem ryzyka dla całego sektora. Umożliwiają one atakującym skalowanie swoich operacji daleko poza pojedyncze szpitale lub kliniki.

Na całym świecie niechronione systemy do obrazowania medycznego Równolegle badacze TrendAI zidentyfikowali znaczne ryzyko związane z podłączonymi do Internetu systemami do obrazowania medycznego. Osobne badanie znaleziono na całym świecie 3 627 publicznie dostępnych serwerów DICOM w ponad 100 krajach. DICOM (Digital Imaging and Communications in Medicine) jest centralnym standardem wymiany danych obrazowych medycyny, takich jak MRI, CT czy zdjęcia rentgenowskie.

Szczególnie krytyczne okazało się, że chociaż DICOM od dziesięcioleci wspiera mechanizmy bezpieczeństwa, takie jak szyfrowanie, uwierzytelnianie i kontrole dostępu, to praktycznie nie są one używane. Tylko 0,14 procent zidentyfikowanych systemów używało zalecanej szyfrowania TLS, podczas gdy 99,56 procent akceptowało połączenia bez skutecznej weryfikacji uwierzytelnienia. Raport ostrzega, że przez to atakujący mogą podsłuchiwać dane pacjentów, manipulować danymi obrazowymi, wprowadzać ransomware lub przemieszczać się bocznie w sieciach szpitalnych.

Dalsze informacje Pełen raport „The Cybercriminal Underground: Mapping the Healthcare Data Economy” można znaleźć tutaj: https://www.trendaisecurity.com/de/resources-insights/research/the-cybercriminal-underground- mapping-the-healthcare-data-economy

Pełen raport „Exposed DICOM Servers and the Risk to Patient Data” można znaleźć tutaj: https://www.trendmicro.com/vinfo/de/security/news/cybercrime-and- digital-threats/a-hidden-vulnerability-in-healthcare-exposed-dicom-servers-and-the-risk-to-patient- data

Obsługa prasowa TrendAI™
c/o BRAND AFFAIRS AG
Mischa Keller
MSc Business Administration Partner
Telefon: +41 44 254 80 00
E-Mail: trendmicro-media@brandaffairs.ch

Mühlebachstrasse 8
8008 Zürich
Szwajcaria

Informacja redakcji: prawa do zdjęcia należą do odpowiedniego wydawcy.