Blot få dage inde i det nye år stod det klart, at den kontroversielle lægeklinik-koncern Alles Lægehus havde undladt at informere sine over 30.000 patienter om, at personlige og intime oplysninger var blevet stjålet i et omfattende hackerangreb.
Angrebet markerer et vendepunkt: Det første store, succesfulde angreb mod den danske sundhedssektor. Jomfrueligheden er forsvundet.
Helbredsoplysninger, sygdomshistorik og cpr-numre.
Disse oplysninger vil i fremtiden i endnu højere grad blive lagt frit til skue, advarer Googles elitehold af cyber-efterforskere hos Mandiant i en ny rapport, der tegner et billede af, hvor det cyberkriminelle økosystem bevæger sig hen.
"Sundhedsorganisationers kritiske missioner og konsekvenserne af forstyrrelser gør, at de opfattes som mere tilbøjelige til at betale en løsesum. Det har fået nogle hackergrupper til at øge deres fokus på sundhedssektoren," skriver Mandiant i rapporten.
"Sundhedsindustrien, især hospitaler, vil næsten med sikkerhed fortsat være et lukrativt mål for ransomware-operatører, i betragtning af patientdatas følsomhed og vigtigheden af de tjenester, der leveres."
Rapporten fremhæver et nyligt studie fra University of Minnesota-Twin Cities School of Public Health, der viser, at dødeligheden for indlagte patienter stiger drastisk, når et hospital bliver ramt af et ransomware-angreb.
"Dødeligheden på hospitalet stiger med 35-41 procent," skriver Mandiant.
Ransomware som en national sikkerhedstrussel
Normalt anses ransomware-angreb for at være opportunistiske angreb fra gemene cyberkriminelle, der blot er ude på at score en hurtig gevinst.
Disse kriminelle står i kontrast til statsstøttede hackergrupper og efterretningstjenesters cybersoldater, der spionerer eller udfører destruktive angreb. Eksempelvis blev amerikanske politikere og højtstående embedsmænd tidligere frarådet at bruge AT&T's teleinfrastruktur efter et massivt spionageangreb.
Men ifølge Mandiant er det finansielt motiverede ransomware-angreb, der udgør den største udfordring.
Sidste år reagerede Mandiants incident response-teams på fire gange så mange angreb, hvor hackerne havde et finansielt motiv, sammenlignet med statsstøttede angreb.
"Den enorme mængde økonomisk motiverede cyberindbrud, der finder sted dagligt, har en kumulativ indvirkning. Det skader den nationale økonomiske konkurrenceevne og lægger et enormt pres på cyberforsvarere, hvilket fører til nedsat beredskab og udbrændthed."
Væksten i cyberkriminalitet kan blandt andet aflæses af, at der nu findes over 150 lækagesider på darkweb, hvor hackere offentliggør stjålne data for at presse deres ofre til at betale løsesummer.
Den økonomiske gevinst er så stor, at cyberkriminalitet har udviklet sig til en decideret industri med specialiserede aktører. Eksempelvis sælger "initial access brokers" adgang til kompromitterede systemer til højestbydende.
Sundhedssektoren i cyberkriminelles skudlinje
Mandiant peger på, at sundhedssektoren er særligt udsat.
På darkweb-forummet RAMP (Russian Anonymous Marketplace) har en profil, der menes at være affilieret med ransomware-kartellet Inc. Ransom, ifølge Mandiant tilbudt at betale en premium på seks procent for adgang til sundhedsorganisationer. Det understreger, hvor attraktivt sektoren er som mål.
Specialisering inden for cyberkriminalitet har desuden ført til partnerskaber mellem forskellige ransomware-grupper, hvilket gør det sværere at spore og identificere bagmændene.
"Specialiseringen af cyberkriminalitet giver statsstøttede grupper mulighed for at skjule sig som almindelige kriminelle kunder på illegale fora," skriver Mandiant.
Fra kreditkortsvindel til organiseret cyberkriminalitet
I forbindelse med rapporten har Google og Mandiant udgivet en mini-dokumentar, som er frit tilgængelig på YouTube.
Her beskrives cyberkriminalitetens udvikling. I starten af 00'erne var tyveri af kreditkortoplysninger et stort problem, men kriminelle opdagede hurtigt, at det krævede mange kort for at tjene store beløb.
I stedet begyndte ransomware-angreb at vinde frem, og virksomheder blev hurtigt det primære mål.
De cyberkriminelle blev bedre til at forstå deres ofre, undersøge markedet og finde ud af, hvor de kunne tjene flest penge med mindst risiko. Og risikoen for at blive fanget er minimal – især hvis man opererer fra Rusland.
Dokumentarens hovedpointe er, at cyberkriminelle organisationer drives efter de samme principper som legitime forretninger: De er konstant på jagt efter det højest mulige afkast og tilpasser sig hurtigt.
Derfor mener Mandiant, at hospitaler og sundhedsorganisationer vil være blandt de mest oplagte mål i fremtiden – for det er her, der er flest penge at hente.
