Z danych Netskope Threat Labs wynika, iż opieka zdrowotna znalazła się w czołówce sektorów dotkniętych w 2023 r. cyberatakami. Przestępcy, używając złośliwego oprogramowania, nielegalnie zdobywali dane pacjentów albo blokowali infrastrukturę informatyczną zakładów opieki zdrowotnej, żądając okupu lub sprzedając skradzione informacje na czarnym rynku.
Zagrożone aplikacje w chmurze
Sektor opieki zdrowotnej miał istotny odsetek złośliwego systemu pochodzącego z chmury – mniej więcej 40 proc. wszystkich pobrań złośliwego systemu – zajmując miejsce za telekomunikacją, usługami finansowymi, produkcją, handlem detalicznym, technologią, administracją państwową i lokalną oraz edukacją.
Aplikacje w chmurze są coraz częściej celem złośliwego oprogramowania, ponieważ dają atakującym możliwość uniknięcia regularnych kontroli bezpieczeństwa, które opierają się na narzędziach takich jak listy blokowania domen oraz monitorowanie ruchu internetowego, a takie ataki mają wpływ na firmy, które nie stosują zasad „zero trust”, czyli zerowego zaufania do rutynowej kontroli ruchu w chmurze. Cyberprzestępcy, atakując opiekę zdrowotną, wykorzystywali głównie infostealary, czyli złośliwe oprogramowanie, które skanuje zainfekowane komputery i wyszukuje różnorodne informacje, w tym nazwy użytkowników, hasła, adresy e-mailowe, historię przeglądarki, pliki dzienników, informacje systemowe, dokumenty, arkusze kalkulacyjne lub inne pliki multimedialne, a także dane zdrowotne. W szczególności gang Clop był niezwykle aktywny w atakowaniu organizacji opieki zdrowotnej i ubezpieczeń zdrowotnych.
– Cyberprzestępcy – atakując szpitale, przychodnie czy inne instytucje z sektora opieki zdrowotnej – mają głównie dwa cele: zablokować infrastrukturę danej jednostki lub skraść wrażliwe dane pacjentów. Potem szantażują swoje ofiary, domagając się okupu lub sprzedając skradzione dane na czarnym rynku, a dane medyczne, w tym osobowe pacjentów są niestety poszukiwanym towarem. Dlatego tak ważne jest zabezpieczenie szpitali czy firm medycznych w rozwiązania, które nie tylko blokują dostęp do niebezpiecznych aplikacji w chmurze, ale filtrują przesyłanie i pobieranie danych na zasadzie szczegółowej analizy online. Tylko w ten sposób można uniknąć wyrafinowanego cyberataku – wskazał Michał Borowiecki, dyrektor generalny Netskope na Polskę i Europę Środkową.
Taktyka przeciwnika i zachowanie ofiary
Microsoft OneDrive, który jest powszechnie używany jest równocześnie najchętniej wykorzystywany przez cyberprzestępców do propagacji malware, pozostał również najpopularniejszą aplikacją w sektorze opieki zdrowotnej, chociaż liczba pobrań złośliwego systemu za pośrednictwem OneDrive była o 12 punktów procentowych niższa niż w innych branżach. Powszechność ataków złośliwego systemu pochodzących z OneDrive odzwierciedla połączenie taktyki przeciwnika (nadużywanie OneDrive do dystrybucji złośliwego oprogramowania) i zachowania ofiary (prawdopodobieństwo kliknięcia linków i pobrania złośliwego oprogramowania) w połączeniu z powszechną popularnością OneDrive.
Aplikacja Slack zajmowała drugie miejsce pod względem przesyłanych plików (za OneDrive) i piąte pod względem pobrań, znacznie wyżej niż w innych sektorach. Oprogramowanie Slack jest solidną aplikacją korporacyjną, cyberprzestępcy muszą stosować różne taktyki i treści, aby atakować użytkowników, którzy muszą akceptować lub udostępniać zaproszenia do kanałów zewnętrznych. Jest to bardziej złożony proces w porównaniu z innymi aplikacjami do przesyłania wiadomości konsumenckich, takimi jak WhatsApp, które mogą być używane na urządzeniach firmowych.
– Infostealer należy do największych zagrożeń dla sektora opieki zdrowotnej, co znajduje odzwierciedlenie w fakcie, iż w 2023 r. wiele organizacji opieki zdrowotnej było celem ogromnych naruszeń, a także jednym z głównych celów masowej kampanii gangu Clop. Oczywiście taka forma cyberataku nie jest zaskakująca ze względu na rodzaje danych osobowych zarządzanych przez organizacje sektora zdrowia, ale jest szczególnie skuteczna, ponieważ atakujący niekoniecznie muszą szyfrować dane w ataku typu ransomware. Zamiast tego eksfiltrują skradzione informacje i wykorzystują je do szantażowania ofiary (lub jej klientów/pacjentów). Złośliwe oprogramowanie i złodzieje informacji nie powinni być jedynym zmartwieniem sektora opieki zdrowotnej, powinni oni również wziąć pod uwagę podatność swojego łańcucha dostaw i zastosować tę samą strategię zerowego zaufania, którą zastosowaliby we własnej organizacji wobec stron trzecich w łańcuchu dostaw – dodał Paolo Passeri, szef działu cyberwywiadu Netskope.
Statystyki firmy opierają się na zanonimizowanych danych użytkowych zebranych z podzbioru ponad 2500 klientów Netskope z sektora opieki zdrowotnej, z których wszyscy wyrazili uprzednią zgodę na analizę ich danych w ten sposób.