Per un periodo di dodici mesi, i ricercatori di TrendAI hanno analizzato 7.779 post in forum sotterranei, 21.813 inserzioni di mercato e 95 siti di leak di ransomware relativi alla criminalità informatica nel settore sanitario. I risultati mostrano che i dati sanitari continuano a essere tra i beni più ricercati scambiati nel sottobosco criminale. La loro durata, sensibilità e la possibilità di utilizzarli per diverse forme di frode ed estorsione contemporaneamente li rendono particolarmente attraenti per i criminali.
Ransomware come motore del commercio sotterraneo Le vendite di dati derivanti da incidenti di ransomware costituivano oltre un terzo (36,3%) dell'attività di mercato complessiva. Gli attori del ransomware stanno combinando sempre più crittografia con furto di dati ed estorsione. Inoltre, i ricercatori hanno identificato un crescente orientamento verso i fornitori di cartelle cliniche elettroniche. Un singolo attacco riuscito può compromettere poi centinaia di strutture sanitarie a valle.
Il rapporto mostra anche che i criminali informatici non si limitano più alla vendita di set di dati completi. Nei mercati sotterranei, i dati sanitari vengono sempre più utilizzati come base per furto d'identità, frode assicurativa, certificati e ricette falsi, nonché per il controllo degli account di pazienti e dipendenti. Di conseguenza, i set di dati rubati possono essere monetizzati più volte nel corso degli anni.
"I dati sanitari si sono evoluti da informazioni rubate a beni che i criminali informatici possono utilizzare a lungo termine", spiega Mayra Rosario, Senior Threat Researcher di TrendAI. "A differenza di una carta di credito, le diagnosi, le storie di trattamenti o le informazioni biometriche di un paziente non possono essere semplicemente bloccate e riemesse, il che li rende particolarmente attraenti per i gruppi di ransomware e i commercianti di dati."
Dal singolo individuo alla catena di approvvigionamento criminale Lo studio esamina anche l'industrializzazione avanzata della criminalità informatica nel settore sanitario: i mercati sotterranei offrono ormai un'ampia gamma di dati, dai dati di accesso alle reti ospedaliere e alle informazioni assicurative fino ai pacchetti di identità completi e ai documenti medici falsi.
Particolarmente forte è la crescita del ruolo dei cosiddetti Initial Access Broker. Questi attori specializzati ottengono l'accesso alle reti di ospedali, cliniche o fornitori di servizi sanitari e lo vendono poi a gruppi di ransomware o ad altri criminali informatici. La divisione del lavoro abbassa le barriere d'ingresso per gli attaccanti e accelera la commercializzazione degli attacchi alle strutture sanitarie.
"Quello che stiamo osservando non sono casi isolati, ma un'economia sotterranea raffinata costruita appositamente attorno agli attacchi informatici contro il settore sanitario", afferma Dirk Arendt, Director Government, Public and Healthcare DACH di TrendAI. "Gli incidenti recenti in Germania e nel mondo dimostrano chiaramente quanto siano presi di mira i dati dei pazienti dai criminali informatici e quanto debbano essere meglio protetti."
Fornitori di software come porta d'ingresso: rischio con effetto moltiplicatore Lo studio avverte anche che le compromissioni della catena di approvvigionamento tramite fornitori di software e piattaforme mediche stanno diventando un amplificatore di rischio centrale per l'intero settore. Consentono agli attaccanti di scalare le loro operazioni ben oltre i singoli ospedali o cliniche.
Sistemi di imaging medico non protetti a livello mondiale Parallelamente, i ricercatori di TrendAI hanno identificato rischi significativi nei sistemi di imaging medico collegati a Internet. Un'indagine separata ha trovato 3.627 server DICOM pubblicamente accessibili in più di 100 paesi. DICOM (Digital Imaging and Communications in Medicine) è lo standard centrale per lo scambio di dati di immagini mediche come risonanze magnetiche, tomografie computerizzate o radiografie.
Particolarmente critico è risultato che, sebbene DICOM supporti da decenni meccanismi di sicurezza come crittografia, autenticazione e controlli di accesso, questi vengono utilizzati raramente nella pratica. Solo lo 0,14% dei sistemi identificati utilizzava la crittografia TLS prevista, mentre il 99,56% accettava connessioni senza verifica efficace dell'autenticazione. Il rapporto avverte che gli attaccanti potrebbero in questo modo spiare i dati dei pazienti, manipolare i dati delle immagini mediche, introdurre ransomware o muoversi lateralmente nelle reti ospedaliere.
Ulteriori informazioni Il rapporto completo "The Cybercriminal Underground: Mapping the Healthcare Data Economy" può essere trovato qui: https://www.trendaisecurity.com/de/resources-insights/research/the-cybercriminal- underground-mapping-the-healthcare-data-economy Il rapporto completo "Exposed DICOM Servers and the Risk to Patient Data" può essere trovato qui: https://www.trendmicro.com/vinfo/de/security/news/cybercrime-and-digital-threats/a-hidden- vulnerability-in-healthcare-exposed-dicom-servers-and-the-risk-to-patient-data
Contatto
media TrendAI™
c/o BRAND AFFAIRS AG
Mischa Keller
MSc Business Administration Partner
Telefono: +41 44 254 80 00
E-Mail: trendmicro-media@brandaffairs.ch
Mühlebachstrasse 8
8008 Zurigo
Svizzera