L’une des nombreuses tendances troublantes sur les marchés noirs du Dark Web est l’achat et la vente d’informations de santé protégées ou PHI en anglais (Protected Healh Information). Il s’agit de données extraites illégalement d’hôpitaux, de cliniques et d’autres établissements de soins de santé par des pirates informatiques qui profitent des faiblesses de leur cybersécurité. Les PHI comprennent généralement les numéros de sécurité sociale, les dates de naissance, les noms des parents, les procédures médicales et les résultats, et dans certains cas des informations de facturations et financières ou des informations générales telles que les antécédents criminels.
Ce que les pirates font avec les informations de santé protégées
Les PHI sont généralement vendues en paquets que les cybercriminels appellent «fullz». Les Fullz sont des enregistrements de renseignements personnels structurés qui peuvent ensuite être utilisés pour divers types de fraude et d’extorsion tels que la fraude bancaire et de crédit, la fraude en matière de santé, le vol d’identité et l’extorsion de rançon. Dans certains cas, les fraudeurs sont intéressés à acheter des dossiers médicaux spécifiques comme dans le cas suivant.
Les chercheurs de la société israélienne Cynerio suivent l’activité du Dark Web liée au piratage de dispositifs médicaux, en utilisant la technologie de surveillance du Dark Web de Sixgill. Alors que les publications sur l’exploitation des systèmes d’information médicale et les informations volées sur les patients sont assez courantes, la société a été surpris par certains messages alarmants, comme le suivant.
Il s’agit d’un vendeur sur le Dark Web qui « commercialise » des fullz acquis à partir de bases de données des pédiatres, aux fraudeurs qui pourraient être intéressés. Le libellé utilisé pour annoncer ce forfait est particulièrement troublant – «les enfants sont nés après l’an 2000 ans et, en général, viennent de familles saines qui peuvent fournir un soutien médical.» Il ressort clairement de cette description que l’information volée peut être utilisée pour de l’extorsion.
Le vendeur propose également un lien vers son guide « Cashout ». Les guides de Cashout ou retrait sont généralement offerts par les vendeurs qui vendent des fullz pour aider les acheteurs à comprendre comment faire de l’argent avec ce type de données.
Sur la base des déploiements de la solution cybersécurité de Cynerio dans les hôpitaux, les PHI des enfants peuvent représenter plus de 10% des PHIs totaux et leurs données sont souvent transmises sur un réseau non crypté et non protégé, et stockées sur des serveurs médicaux insuffisamment protégés contre la cybercriminalité.
Malheureusement, il y a une très forte probabilité que nous continuions à voir des offres de cette nature.
Hacking as a Service
Vendre de l’information sur la santé volée n’est qu’une des choses que les pirates font sur le Dark Web noir. Les chercheurs de Cynerio chercheurs ont publié un article intéressant provenant d’un fournisseur proposant des serveurs SMTP à des clients intéressés (par exemple, spammeurs, phishing, distributeurs de logiciels malveillants, etc.). Ce qui a attiré leur attention, c’est la fin du message dans lequel le vendeur mentionne que «si vous voulez un serveur de l’hôpital, laissez-nous simplement une note » Je veux un serveur hospitalier « . Ceci est intéressant car cela pourrait permettre aux clients intéressés d’envoyer des courriels malveillants à partir d’un domaine hospitalier, s’ils prévoient une campagne de phishing ciblant les soins de santé. Cela montre également que le fournisseur dispose d’un accès à l’exécution de code à distance pour les ordinateurs au sein des réseaux hospitaliers.
Pourquoi cela arrive-t-il?
Le fait que les bases de données des fournisseurs de soins de santé puissent être piratées, jetées et vendues au plus offrant est assez troublant. Les systèmes de soins de santé stockent certaines des informations les plus sensibles et les plus confidentielles qui nous concernent, et ces informations sont exposées à un large éventail de cyberattaques sur une vaste surface d’attaque, allant des serveurs qui stockent les données des patients en masse aux postes de travail des infirmières jusqu’à une variété de dispositifs médicaux connectés. La plupart de ces systèmes cliniques sont mal corrigés (patchés) et communiquent via des canaux non sécurisés. Les pirates informatiques en profitent pour obtenir nos informations les plus sensibles.
Mettant ces deux faits ensemble – l’omniprésence des PHIs dans les systèmes de soins de santé et la facilité d’infiltration et d’exploitation – il n’est pas surprenant que les activités de piratage des soins de santé aient augmenté de façon continue au cours des dernières années.
Aujourd’hui, il est plus important que jamais pour les responsables de la sécurité des soins de santé d’avoir une visibilité accrue de leurs systèmes cliniques et de la façon dont ils traitent les PHIs, afin d’assurer la protection des données des patients.
http://cynerio.co/healthcare-hacking-trends-dark-web/
