Cybercriminelen richten hun pijlen steeds nadrukkelijker op de zorgsector. Uit nieuw onderzoek van TrendAI blijkt dat gestolen zorggegevens inmiddels behoren tot de meest waardevolle handelswaar op ondergrondse marktplaatsen. Rond deze data is een complete criminele economie ontstaan, waarin ransomwaregroepen, handelaren in gestolen inloggegevens en gespecialiseerde toegangsmakelaars nauw samenwerken.
Voor het onderzoek analyseerden de onderzoekers gedurende twaalf maanden bijna 7.800 berichten op cybercriminele fora, ruim 21.800 advertenties op ondergrondse marktplaatsen en 95 websites waarop buitgemaakte gegevens worden gepubliceerd. De resultaten laten zien dat medische gegevens niet alleen een aantrekkelijk doelwit zijn vanwege hun gevoeligheid, maar vooral omdat ze langdurig bruikbaar blijven voor uiteenlopende vormen van fraude. Bewijs voor deze trend zagen we enkele weken geleden toen EPD-fabrikant Chipsoft getroffen werd door een ransomware hack waarbij, zo bleek later, ook patiëntgegevens gestolen werden. Een ander recent voorbeeld is de diefstal van persoonsgegevens van meer dan 485.000 vrouwen bij Clinical Diagnostics NMDL.
Blijvend waardevol
Waar een gestolen creditcard relatief snel kan worden geblokkeerd, blijven medische dossiers, behandelgeschiedenis en biometrische gegevens vaak jarenlang bruikbaar. Volgens Stephen Hilt, Principal Threat Researcher bij TrendAI, maakt juist dat zorgorganisaties bijzonder aantrekkelijk voor cybercriminelen. “Zorgdata zijn geëvolueerd van simpelweg gestolen informatie tot een waardevolle bron van inkomsten voor cybercriminelen op de lange termijn”, stelt Hilt. De gegevens kunnen worden ingezet voor identiteitsfraude, verzekeringsfraude, gerichte phishingcampagnes en andere vormen van cybercriminaliteit.
Het onderzoek laat zien dat meer dan een derde (36,3 procent) van alle activiteiten op de onderzochte marktplaatsen verband houdt met ransomware-aanvallen op zorgorganisaties. Daarbij beperken aanvallers zich niet langer tot het versleutelen van systemen. Steeds vaker worden gegevens eerst buitgemaakt, waarna slachtoffers onder druk worden gezet met de dreiging van publicatie of verkoop van de gestolen informatie.
Toeleveranciers vaker doelwit
Opvallend is dat cybercriminelen hun aandacht niet uitsluitend richten op ziekenhuizen en zorginstellingen. Ook leveranciers van elektronische patiëntendossiers (EPD’s), elektronische medische dossiers (EMR’s) en andere zorgsoftware worden steeds vaker aangevallen.
Een succesvolle aanval op een softwareleverancier kan immers toegang bieden tot gegevens van meerdere zorgorganisaties tegelijk. Daarmee groeit het risico van zogenoemde supply chain-aanvallen, waarbij één kwetsbaarheid grote gevolgen kan hebben voor een breed zorgnetwerk.
TrendAI verwijst daarbij onder meer naar recente incidenten waarbij patiëntgegevens daadwerkelijk werden buitgemaakt. Dergelijke gegevens kunnen vervolgens worden gebruikt voor zeer gerichte phishingaanvallen op patiënten of zorgmedewerkers.
Georganiseerde keten
Volgens de onderzoekers is er inmiddels sprake van een verregaand geprofessionaliseerde ondergrondse economie. Op criminele marktplaatsen worden complete pakketten met medische en persoonlijke gegevens aangeboden, evenals toegang tot ziekenhuisnetwerken, verzekeringsinformatie en vervalste medische documenten.
“Wat we zien is geen geïsoleerde cybercriminaliteit, maar een volwaardige ondergrondse economie die is opgebouwd rond de gezondheidszorg”, zegt Numaan Huq, Senior Threat Researcher bij TrendAI. Binnen deze keten werken zogenoemde initial access brokers, ransomwaregroepen, verkopers van inloggegevens en fraudeurs samen om gestolen patiëntgegevens zo vaak mogelijk te gelde te maken.
De onderzoekers waarschuwen dat de zorgsector hierdoor voor een steeds complexere beveiligingsuitdaging staat. Niet alleen individuele zorginstellingen, maar ook leveranciers van software en digitale zorgplatformen vormen een potentieel toegangspunt voor aanvallers. Juist die verwevenheid maakt het volgens TrendAI noodzakelijk om cybersecurity niet langer uitsluitend op organisatieniveau te benaderen, maar als een gezamenlijke verantwoordelijkheid binnen de gehele zorgketen.
