被盗患者数据已成为地下市场的结构化商品

最新研究追踪了163个地下社区中逾2.1万条暗网市场信息,揭示出一个分工明确、定价分层的医疗数据黑市体系。医疗记录因无法撤销或重新签发,成为犯罪经济链顶端的高价商品。包含诊断、处方、保险信息的"医疗完整身份包"可同时用于保险欺诈与身份盗窃。勒索软件团伙Rhysida与Interlock占据已公开医疗数据泄露帖的68.5%,EHR软件供应商已成高风险攻击入口。

当医院系统遭受勒索软件攻击时,眼前最紧迫的危机是运营层面的:手术延误、救护车被迫绕道、临床医生无法访问患者记录。这些情况会引发媒体关注。然而,鲜少有人关注到:在加密发动之前,数据已遭窃取,而在此后数周乃至数月内,这些数据究竟流向何处。

Trend AI最新发布的网络犯罪地下生态研究,在12个月内追踪了163个地下社区中超过21,000条暗网市场挂单及7,779篇论坛帖子。研究呈现的,并非分散的、机会主义式的数据盗窃图景,而是一个拥有分层定价、专业中间商和全球客户群的成熟经济体,运营语言覆盖八种以上。

医疗数据之所以在这一地下经济体中高居榜首,原因令每一家医疗机构和制药企业都应警惕:医疗记录不会过期。被盗的信用卡可以注销,被破解的密码可以重置,但患者的诊断史、处方记录、心理健康档案、手术详情和生物特征数据,既无法撤销,也无法重新签发。正是这种永久性,使医疗数据对犯罪分子具有独特价值,对患者构成独特威胁。

患者安全的隐忧

围绕医疗网络犯罪的讨论,往往止步于运营中断和经济损失,这是不够的。被盗的医疗记录可被用于以敏感诊断信息为筹码的定向勒索;可用于医疗身份盗窃——即有人以他人身份就医,将错误的血型、过敏信息或用药记录写入受害者的病历,由此引发的临床风险真实存在,且很大程度上尚未得到量化评估。

包含医疗数据的完整身份信息包(在地下市场中称为"medical fullz")比标准金融身份信息包的单条溢价更高。一份典型的medical fullz通常包含:姓名、出生日期、诊断代码、保险单及理赔编号、处方记录和雇主信息。如此丰富的信息,可在一条记录中同时支撑保险欺诈、处方欺诈和身份盗窃。

伪造文件市场则在此之上叠加了新的风险层。伪造的医生诊断证明、残疾认定书和病假证明被大量交易,起价仅为25美元。此类交易虽集中于拉丁美洲论坛,但来自美国和中国的需求也在涌现。对于本已面临处方欺诈和福利滥用困境的医疗体系而言,这是一条正在扩张的新战线。

地下经济的运作机制

理解其运作机制至关重要,因为这正是医疗机构如今所面临的攻击速度和规模的根源。医疗网络犯罪已不再需要一个复杂攻击者独立完成全套操作,地下生态已演化出分工明确的专业角色。

初始访问中间商负责发现和利用医疗网络中的漏洞,并出售入侵权限。研究发现,例如一家以色列牙科影像诊所的访问权限挂价100美元,一家加拿大电子病历(EMR)软件公司的VPN访问权限则标价400美元。这些入口随后流入勒索软件即服务(RaaS)运营体系,专属市场负责处理提取数据的下游销售。仅凭证销售一项,就占据地下医疗市场活动量的8.2%,数据来源通常是信息窃取恶意软件,以及针对电子健康记录(EHR)平台、医院门户和医疗SaaS应用的组合列表。

这种分工意味着低技能攻击者只需购买所需的单一环节即可参与其中。入门门槛大幅降低,攻击量也随之攀升。

供应商问题

对整个医疗生态而言,研究中最值得警惕的发现,是针对EHR和EMR软件供应商的攻击。攻破单一供应商,可能在一次入侵中暴露数十乃至数百家下游机构的患者数据。这绝非假设性风险——研究记录到医疗科技平台访问权限的活跃交易,此类供应商的中型数据集在地下市场的报价在1,000至8,000美元之间。

对于制药公司、合同研究机构,以及一切与临床数据流相连的机构而言,这构成了单靠内部安全管控无法消除的依赖性风险。自身的防御或许已经稳固,但关键在于:你所依赖的每一个系统和供应商,是否也同样如此?

跨语言的全球市场

医疗数据地下市场并不局限于英语论坛。英语在市场活动中占比63.3%,但土耳其语社区占比13.9%,葡萄牙语论坛(很可能来自巴西)占比11.2%。俄语论坛在历史上与网络犯罪高度关联,但在医疗数据交易中仅占3%,不过俄语系攻击者在完整身份和身份欺诈领域仍占据主导。

区域专业化特征明显:土耳其行为者主要分发EHR泄露数据,德语市场聚焦处方药销售,阿拉伯语挂单则来自中东医疗系统的泄露事件。这种地理多样性增加了溯源难度,也意味着单一地区的执法行动无法独力遏制这一问题。

少数团体的高度集中

勒索软件泄露活动呈现出另一番规律。研究覆盖95个勒索软件运营团伙博客,共识别出7,610条医疗相关泄露帖子。其中,Rhysida和Interlock两个团伙合计占所有公开医疗数据的68.5%。这种高度集中既是警示,也在一定程度上意味着机遇——即便只打击少数最活跃的团伙,也可能显著减少流入地下市场的医疗数据总量。

行业的应对方向

医疗数据地下经济已高度结构化、全球化且自我持续运转。应对这一威胁,需要从将泄露事件视为孤立事故的思维定式中跳脱出来,转而理解患者数据从被盗、打包、转售,到在多个犯罪渠道中被反复利用的完整生命周期。

这意味着对第三方和供应商风险的监控必须是持续性的,而非一年一次的评估。这意味着将已泄露医疗记录的再利用周期,视为头等患者安全问题,而非事后的合规议题。这也意味着必须接受一个令人不安的现实:在这个经济体中,一次泄露并不会随着赎金支付或系统恢复而画上句号。数据在头条退去许久之后,仍在持续为犯罪分子创造价值。

Q&A

Q1:什么是"medical fullz"?它包含哪些信息?

A:Medical fullz是地下市场对包含医疗数据的完整身份信息包的称呼。一份典型的medical fullz通常包含姓名、出生日期、诊断代码、保险单及理赔编号、处方记录和雇主信息。由于信息高度完整,犯罪分子可凭借一条记录同时实施保险欺诈、处方欺诈和身份盗窃,其单条价格通常高于普通金融身份信息包。

Q2:医疗数据为什么比信用卡数据更值钱?

A:核心原因在于医疗数据的"永久性"。信用卡被盗后可以注销,密码泄露后可以重置,但患者的诊断史、处方记录、手术信息和生物特征数据无法撤销或重新签发。这种不可更改性使医疗数据对犯罪分子具有长期利用价值,也因此在地下市场中价格更高、流通时间更长。

Q3:EHR和EMR软件供应商为什么会成为攻击目标?

A:攻击软件供应商是一种高效率的入侵策略。一旦攻破单一供应商,攻击者可能在一次入侵中同时获取数十乃至数百家下游医疗机构的患者数据。研究显示,此类供应商的中型数据集在地下市场的报价在1,000至8,000美元之间,攻击回报可观,因此成为犯罪分子重点瞄准的目标。

来源:Pharmaphorum

0赞

好文章,需要你的鼓励

2026

07/16

16:54

分享

点赞

邮件订阅