Durante um período de doze meses, pesquisadores da TrendAI analisaram 7.779 postagens em fóruns subterrâneos, 21.813 anúncios de mercado e 95 sites de vazamento de ransomware relacionados ao cibercrime no setor de saúde. Os resultados mostram que os dados de saúde continuam a ser um dos bens mais cobiçados no submundo criminoso. Sua permanência, sensibilidade e a possibilidade de usá-los para diferentes formas de fraude e extorsão ao mesmo tempo os tornam particularmente atraentes para criminosos.
Ransomware como motor do comércio subterrâneo
As vendas de dados de incidentes de ransomware representaram mais de um terço (36,3 por cento) de toda a atividade de mercado. Os atores de ransomware estão cada vez mais combinando criptografia com roubo e extorsão de dados. Além disso, os pesquisadores identificaram um foco crescente em provedores de registros eletrônicos de saúde. Um único ataque bem-sucedido pode comprometer centenas de instalações de saúde subsequentes.
O relatório também mostra que os cibercriminosos não se limitam mais à venda de conjuntos completos de dados. Nos mercados subterrâneos, os dados de saúde são cada vez mais usados como base para roubo de identidade, fraude de seguros, atestados e receitas falsas, bem como a tomada de contas de pacientes e funcionários. Isso permite que conjuntos de dados roubados sejam monetizados várias vezes ao longo dos anos.
"Os dados de saúde evoluíram de informações roubadas para ativos que os cibercriminosos podem usar a longo prazo", explica Mayra Rosario, pesquisadora sênior de ameaças na TrendAI. "Ao contrário de um cartão de crédito, diagnósticos, históricos de tratamento ou dados biométricos de um paciente não podem ser simplesmente bloqueados e reemitidos – isso os torna especialmente atraentes para grupos de ransomware e vendedores de dados."
Do criminoso solitário à cadeia de fornecimento criminosa
O estudo também explora a crescente industrialização do cibercrime no setor de saúde: os mercados subterrâneos agora oferecem uma ampla gama – de dados de acesso a redes hospitalares e dados de seguros a pacotes de identidade completos e documentos médicos falsos.
A crescente importância dos chamados corretores de acesso inicial é particularmente forte. Esses atores especializados ganham acesso a redes de hospitais, clínicas ou prestadores de serviços de saúde e depois os vendem para grupos de ransomware ou outros cibercriminosos. A divisão do trabalho reduz as barreiras de entrada para os atacantes e acelera a comercialização de ataques a instituições de saúde.
"O que observamos não são casos isolados, mas uma economia subterrânea sofisticada, que foi construída especificamente em torno de ataques cibernéticos ao setor de saúde", diz Dirk Arendt, Diretor de Governo, Público e Saúde DACH na TrendAI. "Incidentes recentes na Alemanha e em todo o mundo mostram de forma impressionante como os dados dos pacientes estão no centro das atenções dos cibercriminosos e precisam ser protegidos melhor."
Provedores de software como portas de entrada: risco com efeito multiplicador
O estudo também alerta que os compromissos na cadeia de suprimentos por provedores de software e plataformas médicas estão se tornando um amplificador de risco central para todo o setor. Eles permitem que os agressores escalem suas operações muito além de hospitais ou clínicas individuais.
Sistemas globais de imagem médica desprotegidos
Paralelamente, os pesquisadores da TrendAI identificaram riscos significativos nos sistemas de imagem médica conectados à Internet. Uma investigação separada encontrou 3.627 servidores DICOM publicamente acessíveis em mais de 100 países. DICOM (Imagens Digitais e Comunicação em Medicina) é o padrão central para a troca de dados de imagem médica, como ressonâncias magnéticas, tomografias computadorizadas e raios-X.
Revelou-se particularmente crítico que, embora o DICOM apoie há décadas mecanismos de segurança como criptografia, autenticação e controles de acesso, estes quase não são utilizados na prática. Apenas 0,14% dos sistemas identificados usaram a criptografia TLS prevista, enquanto 99,56% aceitaram conexões sem verificação eficaz de autenticação. O relatório adverte que os invasores podem assim espiar dados de pacientes, manipular dados de imagem médica, inserir ransomware ou se mover lateralmente em redes hospitalares.
Mais informações
Você pode encontrar o relatório completo The Cybercriminal Underground: Mapping the Healthcare Data Economy aqui: https://www.trendaisecurity.com/de/resources- insights/research/the-cybercriminal-underground-mapping-the-healthcare-data-economy
O relatório completo Exposed DICOM Servers and the Risk to Patient Data pode ser encontrado aqui: https://www.trendmicro.com/vinfo/de/security/news/cybercrime-and-digital-threats/a-hidden-vulnerability- in-healthcare-exposed-dicom-servers-and-the-risk-to-patient-data
Contacto para a imprensa TrendAI™
c/o BRAND AFFAIRS AG
Mischa Keller
MSc Business Administration Partner
Telefone: +41 44 254 80 00
E-Mail: trendmicro-media@brandaffairs.ch
Mühlebachstrasse 8
8008 Zurique
Suíça