Au cours de douze mois, les chercheurs de TrendAI ont analysé 7 779 messages sur des forums underground, 21 813 annonces sur des marketplaces et 95 sites de fuite de ransomware liés à la cybercriminalité dans le secteur de la santé. Les résultats montrent que les données de santé restent parmi les biens les plus prisés dans les marchés criminels souterrains. Leur pérennité, leur sensibilité et la possibilité de les utiliser pour différentes formes de fraude et d'extorsion simultanément les rendent particulièrement attrayantes pour les criminels.
Vente de données issues d'incidents de ransomware représente plus d'un tiers (36,3 pour cent) de l'activité totale des marketplaces. Les acteurs de ransomware combinent de plus en plus le chiffrement avec le vol et l'extorsion de données. De plus, les chercheurs ont identifié une cible de plus en plus grande sur les fournisseurs de dossiers médicaux électroniques. Une seule attaque réussie peut compromettre des centaines d'établissements de soins secondaires.
Le rapport montre également que les cybercriminels ne se limitent plus à la vente de jeux de données complets. Sur des marketplaces souterrains, les données de santé sont de plus en plus utilisées comme base pour le vol d'identité, la fraude à l'assurance, les certificats et prescriptions falsifiées ainsi que la prise en charge de comptes de patients et d'employés. Ainsi, les jeux de données volés peuvent être monétisés plusieurs fois au fil des années.
"Les données de santé ont évolué de simples informations volées à des atouts que les cybercriminels peuvent exploiter à long terme", explique Mayra Rosario, chercheuse principale en menace chez TrendAI. "Contrairement à une carte de crédit, les diagnostics, les historiques de traitement ou les données biométriques d'un patient ne peuvent pas simplement être annulés et réémis - ce qui les rend particulièrement attractifs pour les groupes de ransomware et les commerçants de données."
La recherche éclaire également l'industrialisation progressive de la cybercriminalité dans le secteur de la santé: les marketplaces souterrains proposent désormais une large gamme de produits - des données d'accès aux réseaux hospitaliers et informations d'assurance aux packs d'identité complets et documents médicaux falsifiés.
Le rôle des soi-disant initial access brokers croît fortement. Ces acteurs spécialisés accèdent aux réseaux des hôpitaux, cliniques ou fournisseurs de santé et les vendent ensuite à des groupes de ransomware ou d'autres cybercriminels. La division du travail réduit les obstacles pour les attaquants et accélère la commercialisation des attaques sur les installations de santé.
"Ce que nous observons, ce ne sont pas des cas isolés, mais une économie souterraine sophistiquée délibérément construite autour des cyberattaques sur le secteur de la santé", déclare Dirk Arendt, directeur du gouvernement, public et santé DACH chez TrendAI. "Les incidents récents en Allemagne et dans le monde illustrent clairement combien les données des patients sont au centre de l'intérêt des cybercriminels et doivent absolument être mieux protégées."
L'étude avertit également que les compromissions des chaînes d'approvisionnement via les fournisseurs de logiciels et plateformes médicales deviennent un multiplicateur de risques stratégique pour l'ensemble du secteur. Elles permettent aux attaquants d'étendre leurs opérations bien au-delà des hôpitaux ou cliniques individuels.
En parallèle, les chercheurs de TrendAI ont repéré des risques significatifs liés aux systèmes d'imagerie médicale connectés à Internet. Une étude distincte a trouvé 3 627 serveurs DICOM accessibles au public dans plus de 100 pays. DICOM (Digital Imaging and Communications in Medicine) est la norme centrale pour l'échange de données d'imagerie médicale telles que les IRM, CT ou radiographies.
Un problème critique est que bien que DICOM prenne en charge des mécanismes de sécurité comme le chiffrement, l'authentification et le contrôle d'accès depuis des décennies, ceux-ci sont à peine utilisés dans la pratique. Seulement 0,14 pour cent des systèmes identifiés utilisent le chiffrement TLS prévu, tandis que 99,56 pour cent acceptent des connexions sans vérification d'authentification efficace. Le rapport avertit qu'à cause de cela, les attaquants peuvent espionner les données des patients, manipuler les données d'imagerie médicale, injecter des ransomwares ou se déplacer latéralement dans les réseaux hospitaliers.
Pour plus d'informations, trouvez le rapport complet 'The Cybercriminal Underground: Mapping the Healthcare Data Economy' ici: https://www.trendaisecurity.com/de/resources-insights/research/the-cybercriminal- underground-mapping-the-healthcare-data-economy.
Pour le rapport complet 'Exposed DICOM Servers and the Risk to Patient Data' ici: https://www.trendmicro.com/vinfo/de/security/news/cybercrime-and-digital-threats/a-hidden-vulnerability- in-healthcare-exposed-dicom-servers-and-the-risk-to-patient-data.
Contact presse TrendAI™
c/o BRAND AFFAIRS AG
Mischa Keller
MSc Business Administration Partner
Tél : +41 44 254 80 00
E-Mail : trendmicro-media@brandaffairs.ch
Mühlebachstrasse 8
8008 Zürich
Suisse