Durant un període de dotze mesos, els investigadors de TrendAI van analitzar 7.779 publicacions en fòrums del submón, 21.813 insercions de mercat i 95 llocs de fugues de ransomware relacionats amb la ciberdelinqüència en el sector de la salut. Els resultats mostren que les dades de salut continuen sent un dels actius més preuats que es comercien en el submón criminal. La seva permanència, sensibilitat i la possibilitat d'utilitzar-les per a diverses formes de frau i extorsió alhora les fan especialment atractives per als criminals.
Ransomware com a motor del comerç clandestí
Les vendes de dades derivades d'incidents de ransomware van constituir més d'un terç (36,3 per cent) de tota l'activitat del mercat. Els actors de ransomware cada cop combinen més la xifratge amb el robatori de dades i l'extorsió. A més, els investigadors van identificar un enfocament creixent cap als proveïdors de registres mèdics electrònics. Un únic atac reeixit pot comprometre centenars d'institucions sanitàries descendents.
El reportatge també revela que els ciberdelinqüents fa temps que han deixat de vendre conjunts de dades complets. En mercats clandestins, les dades de salut es comercialitzen cada cop més com a base per al robatori d'identitat, el frau d'assegurances, certificats falsificats i receptes, així com la presa de control de comptes de pacients i empleats. Això permet a les dades robades monetitzar-se diverses vegades durant anys.
“Les dades de salut han evolucionat de ser informació robada a ser actius que els ciberdelinqüents poden utilitzar a llarg termini”, explica Mayra Rosario, investigadora sènior d'amenaces a TrendAI. “A diferència d'una targeta de crèdit, els diagnòstics, els historials de tractament o les dades biomètriques d'un pacient no es poden bloquejar fàcilment ni reemetre – això les fa especialment atractives per als grups de ransomware i comerciants de dades.”
Del delinqüent individual a la cadena de subministrament criminal
L'estudi també il·lumina la contínua industrialització de la ciberdelinqüència en el sector de la salut: els mercats clandestins ofereixen ara un ampli espectre – des de dades d'accés a xarxes hospitalàries i dades d'assegurances fins a paquets d'identitat complets i documents mèdics falsificats.
Especialment creixent és el paper dels anomenats brokers d'accés inicial. Aquests actors especialitzats s'infiltren en xarxes d'hospitals, clíniques o proveïdors de serveis de salut i posteriorment les venen a grups de ransomware o altres ciberdelinqüents. La divisió del treball redueix les barreres d'entrada per als atacants i accelera la comercialització d'atacs a institucions de salut.
“El que estem observant no són casos aïllats, sinó una economia subterrània madura creada específicament al voltant dels ciberatacs en el sector de la salut”, diu Dirk Arendt, Director Governamental, Públic i de Salut a TrendAI. “Els incidents recents a Alemanya i arreu del món demostren clarament com les dades dels pacients estan centrades en el punt de mira dels ciberdelinqüents i que cal protegir-les millor.”
Proveïdors de programari com a portes d'entrada: risc amb efecte multiplicador
L'estudi també adverteix que les compromisos de la cadena de subministrament a través de proveïdors de programari i plataformes mèdiques esdevenen un amplificador de risc central per a tot el sector. Permet als atacants escalar les seves operacions molt més enllà de hospitals o clíniques individuals.
Sistemes de imatges mèdiques no protegits al voltant del món
Paral·lelament, els investigadors de TrendAI van identificar riscos significatius en els sistemes de imatges mèdiques connectats a Internet. Una investigació separada va trobar 3.627 servidors DICOM accessibles públicament a més de 100 països. DICOM (Digital Imaging and Communications in Medicine) és l'estàndard central per a l'intercanvi de dades d'imatges mèdiques com ressonàncies magnètiques, tomografies axials computaritzades o radiografies.
Especialment crític va resultar que, encara que DICOM ha suportat durant dècades mecanismes de seguretat com la xifratge, l'autenticació i els controls d'accés, aquests es fan servir poc a la pràctica. Només el 0,14 per cent dels sistemes identificats utilitzaven el xifratge TLS previst, mentre que el 99,56 per cent acceptaven connexions sense comprovació efectiva d'autenticació. El reportatge adverteix que els atacants podrien espiar dades de pacients, manipular dades d'imatges mèdiques, introduir ransomware o moure's lateralment a xarxes hospitalàries com a conseqüència.
Informació addicional
El reportatge complet "The Cybercriminal Underground: Mapping the Healthcare Data Economy" es pot trobar aquí: https://www.trendaisecurity.com/de/resources- insights/research/the-cybercriminal-underground-mapping-the-healthcare-data-economy
El reportatge complet "Exposed DICOM Servers and the Risk to Patient Data" es pot trobar aquí: https://www.trendmicro.com/vinfo/de/security/news/cybercrime-and-digital-threats/a-hidden-vulnerability- in-healthcare-exposed-dicom-servers-and-the-risk-to-patient-data
Contacte de premsa TrendAI™
c/o BRAND AFFAIRS AG
Mischa Keller
MSc Business Administration Partner
Telèfon: +41 44 254 80 00
E-Mail: trendmicro-media@brandaffairs.ch
Mühlebachstrasse 8
8008 Zürich
Suïssa