Gedurende een periode van twaalf maanden analyseerden TrendAI-onderzoekers 7.779 berichten in ondergrondse fora, 21.813 marktplaatsadvertenties en 95 ransomware-leksites met betrekking tot cybercriminaliteit in de gezondheidszorg. De resultaten tonen aan: Gezondheidsgegevens blijven een van de meest gewilde goederen die in de criminele onderwereld worden verhandeld. Hun duurzaamheid, gevoeligheid en de mogelijkheid om ze tegelijkertijd voor verschillende vormen van fraude en afpersing te gebruiken, maken ze bijzonder aantrekkelijk voor criminelen.
Ransomware als motor van de ondergrondse handel
Dataverkopen als gevolg van ransomware-incidenten vertegenwoordigden meer dan een derde (36,3 procent) van de totale marktplaatsactiviteiten. Ransomware-acteurs combineren steeds vaker versleuteling met datadiefstal en afpersing. Daarnaast identificeerden onderzoekers een toenemende focus op aanbieders van elektronische gezondheidsdossiers. Een enkele succesvolle aanval kan vervolgens honderden downstream-zorginstellingen compromitteren.
Het rapport toont ook aan dat cybercriminelen niet langer beperkt zijn tot de verkoop van volledige datasets. Op ondergrondse marktplaatsen worden gezondheidsgegevens steeds vaker gebruikt als basis voor identiteitsdiefstal, verzekeringsfraude, vervalste verklaringen en recepten, evenals de overname van patiënt- en personeelsaccounts. Hierdoor kunnen gestolen datasets over jaren heen meerdere keren worden gemonetariseerd.
"Gezondheidsgegevens hebben zich ontwikkeld van gestolen informatie tot activa die cybercriminelen op de lange termijn kunnen gebruiken", verklaart Mayra Rosario, Senior Threat Researcher bij TrendAI. "In tegenstelling tot een creditcard kunnen diagnoses, behandelgeschiedenissen of biometrische gegevens van een patiënt niet eenvoudig worden geblokkeerd en opnieuw worden uitgegeven - dat maakt ze bijzonder aantrekkelijk voor ransomware- groepen en gegevenshandelaren."
Van enkelvoudige dader tot criminele supply chain
De studie belicht ook de voortschrijdende industrialisatie van cybercriminaliteit in de gezondheidssector: Ondergrondse marktplaatsen bieden inmiddels een breed scala aan - van toegangsgegevens tot ziekenhuisnetwerken en verzekeringsgegevens tot volledige identiteitskits en vervalste medische documenten.
Bijzonder sterk groeit daarbij de rol van zogenaamde Initial Access Brokers. Deze gespecialiseerde actoren krijgen toegang tot netwerken van ziekenhuizen, klinieken of zorgverleners en verkopen deze vervolgens door aan ransomware-groepen of andere cybercriminelen. De taakverdeling verlaagt de instapdrempels voor aanvallers en versnelt de commercialisering van aanvallen op zorginstellingen.
"Wat we waarnemen, zijn geen geïsoleerde gevallen, maar een volwassen ondergrondse economie die gericht is opgebouwd rond cyberaanvallen op de gezondheidszorg", zegt Dirk Arendt, Director Government, Public and Healthcare DACH bij TrendAI. "Recente incidenten in Duitsland en wereldwijd tonen indrukwekkend aan hoezeer patiëntgegevens in de focus van cybercriminelen staan en absoluut beter moeten worden beschermd."
Softwareleveranciers als toegangspoort: risico met multiplicatoreffect
De studie waarschuwt bovendien dat supply chain-compromitteringen via softwareleveranciers en medische platforms een centrale risicoversterker voor de gehele sector worden. Ze stellen aanvallers in staat hun operaties ver buiten afzonderlijke ziekenhuizen of klinieken uit te breiden.
Wereldwijd onbeschermde systemen voor medische beeldvorming
Parallel daaraan identificeerden TrendAI-onderzoekers aanzienlijke risico's bij aan het internet gekoppelde medische beeldvormingssystemen. Een afzonderlijk onderzoek vond wereldwijd 3.627 openbaar toegankelijke DICOM-servers in meer dan 100 landen. DICOM (Digital Imaging and Communications in Medicine) is de centrale standaard voor de uitwisseling van medische beeldgegevens zoals MRI-, CT- of röntgenopnamen.
Als bijzonder kritisch werd geconstateerd dat hoewel DICOM al decennialang beveiligingsmechanismen zoals versleuteling, authenticatie en toegangscontroles ondersteunt, deze in de praktijk nauwelijks worden gebruikt. Slechts 0,14 procent van de geïdentificeerde systemen gebruikte de voorgestelde TLS-versleuteling, terwijl 99,56 procent verbindingen zonder effectieve authenticatiecontrole accepteerde. Het rapport waarschuwt dat aanvallers daardoor patiëntgegevens kunnen onderscheppen, medische beeldgegevens kunnen manipuleren, ransomware kunnen insluizen of zich zijwaarts door ziekenhuisnetwerken kunnen verplaatsen.
Meer informatie
Het volledige rapport 'The Cybercriminal Underground: Mapping the Healthcare Data Economy' vindt u hier: https://www.trendaisecurity.com/de/resources-insights/research/the-cybercriminal-underground- mapping-the-healthcare-data-economy
Het volledige rapport 'Exposed DICOM Servers and the Risk to Patient Data' vindt u hier: https://www.trendmicro.com/vinfo/de/security/news/cybercrime- and-digital-threats/a-hidden-vulnerability-in-healthcare-exposed-dicom-servers-and-the-risk-to- patient-data
Media-afdeling TrendAI™
c/o BRAND AFFAIRS AG
Mischa Keller
MSc Business Administration Partner
Telefoon: +41 44 254 80 00
E-Mail: trendmicro-media@brandaffairs.ch
Mühlebachstrasse 8
8008 Zürich
Zwitserland