I løbet af en periode på tolv måneder analyserede TrendAI-forskere 7.779 indlæg i undergrundsfora, 21.813 markedslister og 95 ransomware-lækage-websteder relateret til cyberkriminalitet inden for sundhedssektoren. Resultaterne viser, at sundhedsdata fortsat er blandt de mest eftertragtede aktiver, der handles i den kriminelle undergrund. Deres vedvarende værdi, følsomhed og muligheden for at bruge dem til forskellige former for bedrageri og afpresning gør dem særligt attraktive for kriminelle.
Ransomware som drivkraft for undergrundshandel
Datarov fra ransomware-hændelser udgjorde mere end en tredjedel (36,3 procent) af al markedets aktivitet. Ransomware-aktører kombinerer i stigende grad kryptering med datatyveri og afpresning. Derudover identificerede forskerne en voksende målretning mod leverandører af elektroniske sundhedsjournaler. Et enkelt vellykket angreb kan kompromittere hundredvis af downstream-sundhedsfaciliteter.
Rapporten viser desuden, at cyberkriminelle ikke længere begrænser sig til salget af komplette datasæt. På undergrundsmarkeder handles sundhedsdata i stigende grad som grundlag for identitetstyveri, forsikringssvindel, falske attester og recepter samt overtagelse af patient- og medarbejderkonti. På den måde kan stjålne datasæt monetariseres flere gange over mange år.
"Sundhedsdata er blevet til aktiver, som cyberkriminelle kan anvende på lang sigt," forklarer Mayra Rosario, Senior Threat Researcher hos TrendAI. "I modsætning til et kreditkort kan diagnoser, behandlingshistorikker eller biometriske data fra en patient ikke nemt blokeres og genudstedes – det gør dem særligt tiltrækkende for ransomware- grupper og datahandlere."
Fra enlig aktør til kriminel forsyningskæde
Undersøgelsen fremhæver også den fremskridende industrialisering af cyberkriminalitet inden for sundhedssektoren: Undergrundsmarkeder tilbyder nu et bredt spektrum – fra adgangsdata til hospitalsnetværk og forsikringsdata til komplette identitetspakker og falske medicinske dokumenter.
Rollen af såkaldte Initial Access Brokers vokser markant. Disse specialiserede aktører får adgang til netværk fra hospitaler, klinikker eller sundhedstjenesteudbydere og videresælger dem derefter til ransomware- grupper eller andre cyberkriminelle. Arbejdsdelingen reducerer adgangsbarriererne for angribere og fremskynder kommercialiseringen af angreb på sundhedsfaciliteter.
"Hvad vi ser, er ikke isolerede enkeltståender, men en sofistikeret undergrundsøkonomi, der er bygget systematisk op omkring cyberangreb mod sundhedsvæsenet," siger Dirk Arendt, Director Government, Public and Healthcare DACH hos TrendAI. "Aktuelle hændelser i Danmark og verden over viser imponerende, hvor meget patientdata er i cyberkriminelle fokuser og skal beskyttes bedre."
Softwareleverandører som angrebsmål: Risiko med multipliceringseffekt
Undersøgelsen advarer også om, at forsyningskædekompromitteringer via softwareleverandører og medicinske platforme bliver en central risikoforøger for hele sektoren. De muliggør, at angribere kan skalere deres operationer langt ud over enkelte hospitaler eller klinikker.
Globalt usikrede systemer til medicinsk billedbehandling
Parallelt identificerede TrendAI-forskere betydelige risici hos sundhedssystemer til billedbehandling, der er forbundet med internettet. En separat undersøgelse fandt 3.627 offentligt tilgængelige DICOM- servere i mere end 100 lande verden over. DICOM (Digital Imaging and Communications in Medicine) er den centrale standard for udveksling af medicinske billeddata som MR-, CT- eller røntgenbilleder.
Især kritisk blev det bemærket, at selv om DICOM i årtier har understøttet sikkerhedsmekanismer som kryptering, autentificering og adgangskontrol, anvendes disse i praksis sjældent. Kun 0,14 procent af de identificerede systemer brugte den foreskrevne TLS-kryptering, mens 99,56 procent accepterede forbindelser uden effektiv autentificeringskontrol. Rapporten advarer om, at angribere dermed kan spionere patientdata, manipulere medicinske billeddata, indsætte ransomware eller bevæge sig lateralt i hospitalsnetværk.
Yderligere oplysninger
Den komplette rapport 'The Cybercriminal Underground: Mapping the Healthcare Data Economy' kan findes her: https://www.trendaisecurity.com/de/resources-insights/research/the-cybercriminal-underground- mapping-the-healthcare-data-economy
Den komplette rapport 'Exposed DICOM Servers and the Risk to Patient Data' kan findes her: https://www.trendmicro.com/vinfo/de/security/news/cybercrime-and- digital-threats/a-hidden-vulnerability-in-healthcare-exposed-dicom-servers-and-the-risk-to-patient- data
Mediekontakt TrendAI™
c/o BRAND AFFAIRS AG
Mischa Keller
MSc Business Administration Partner
Telefon: +41 44 254 80 00
E-Mail: trendmicro-media@brandaffairs.ch
Mühlebachstrasse 8
8008 Zürich
Schweiz