Au cours d'une période de douze mois, les chercheurs de TrendAI ont analysé 7 779 messages dans les forums souterrains, 21 813 annonces de marché et 95 sites de fuite de ransomware relatifs à la cybercriminalité dans le secteur de la santé. Les résultats montrent que les données de santé sont parmi les biens les plus prisés dans les échanges criminels clandestins. Leur durabilité, leur sensibilité et la possibilité de les utiliser pour diverses formes de fraude et d'extorsion en même temps les rendent particulièrement attrayantes pour les criminels.
Les ventes de données issues des incidents de ransomware constituaient plus d'un tiers (36,3 %) de l'ensemble de l'activité du marché. Les acteurs du ransomware combinent de plus en plus le chiffrement avec le vol de données et l'extorsion. En outre, les chercheurs ont identifié une cible croissante sur les fournisseurs de dossiers de santé électroniques. Une seule attaque réussie peut compromettre des centaines d'établissements de santé en aval.
Le rapport montre également que les cybercriminels ne se limitent plus à la vente de jeux de données complets. Sur les marchés clandestins, les données de santé sont de plus en plus utilisées comme base pour le vol d'identité, la fraude à l'assurance, les faux certificats et prescriptions, ainsi que pour la prise de contrôle des comptes de patients et d'employés. Cela permet de monétiser les ensembles de données volées plusieurs fois sur de nombreuses années.
« Les données de santé sont passées du statut d'informations volées à des actifs que les cybercriminels peuvent utiliser à long terme », explique Mayra Rosario, chercheuse senior en menaces chez TrendAI. « Contrairement à une carte de crédit, les diagnostics, antécédents médicaux ou données biométriques d'un patient ne peuvent pas simplement être bloqués et réémis – ce qui les rend particulièrement attrayants pour les groupes de ransomware et les revendeurs de données. »
La recherche aborde également l'industrialisation croissante de la cybercriminalité dans le secteur de la santé : les marchés clandestins offrent désormais un large éventail – des données d'accès aux réseaux hospitaliers et données d'assurance jusqu'aux packages d'identité complets et documents médicaux falsifiés.
Le rôle des soi-disant courtiers en accès initial croît particulièrement fortement. Ces acteurs spécialisés accèdent aux réseaux des hôpitaux, cliniques ou prestataires de soins de santé et les vendent ensuite à des groupes de ransomware ou à d'autres cybercriminels. La division du travail abaisse les barrières à l'entrée pour les attaquants et accélère la commercialisation des attaques sur les établissements de santé.
« Ce que nous observons, ce ne sont pas des cas isolés mais une économie souterraine sophistiquée construite spécifiquement autour des cyberattaques sur le secteur de la santé », déclare Dirk Arendt, Directeur Gouvernement, Public et Santé DACH chez TrendAI. « Des incidents récents en Allemagne et dans le monde entier montrent de manière impressionnante à quel point les données des patients sont au centre de l'attention des cybercriminels et qu'elles doivent absolument être mieux protégées. »
L'étude avertit en outre que les compromissions de la chaîne d'approvisionnement via des fournisseurs de logiciels et des plateformes médicales deviennent un amplificateur de risque central pour l'ensemble du secteur. Elles permettent aux attaquants d'étendre leurs opérations bien au-delà des hôpitaux ou cliniques individuels.
Parallèlement, les chercheurs de TrendAI ont identifié des risques importants liés aux systèmes d'imagerie médicale connectés à Internet. Une enquête distincte a trouvé 3 627 serveurs DICOM accessibles publiquement dans plus de 100 pays. DICOM (Digital Imaging and Communications in Medicine) est la norme centrale pour l'échange de données d'imagerie médicale telles que les IRM, CT ou radiographies.
Il s'est avéré particulièrement critique que, bien que DICOM soutienne depuis des décennies des mécanismes de sécurité comme le chiffrement, l'authentification et le contrôle d'accès, ceux-ci sont rarement utilisés dans la pratique. Seuls 0,14 % des systèmes identifiés utilisaient le cryptage TLS prévu, tandis que 99,56 % acceptaient des connexions sans vérification d'authentification efficace. Le rapport avertit que cela permettrait aux attaquants de surveiller les données des patients, de manipuler les données d'imagerie médicale, de déployer des ransomware ou de se déplacer latéralement dans les réseaux hospitaliers.