宅中地 - 每日更新
宅中地 - 每日更新

贊助商廣告

X

被盜患者數據已成為地下市場的結構化商品

2026年07月16日 首頁 » 熱門科技

當醫院系統遭受勒索軟體攻擊時,眼前最緊迫的危機是運營層面的:手術延誤、救護車被迫繞道、臨床醫生無法訪問患者記錄。這些情況會引發媒體關注。然而,鮮少有人關注到:在加密發動之前,數據已遭竊取,而在此後數周乃至數月內,這些數據究竟流向何處。

Trend AI最新發布的網路犯罪地下生態研究,在12個月內追蹤了163個地下社區中超過21,000條暗網市場掛單及7,779篇論壇帖子。研究呈現的,並非分散的、機會主義式的數據盜竊圖景,而是一個擁有分層定價、專業中間商和全球客戶群的成熟經濟體,運營語言覆蓋八種以上。

醫療數據之所以在這一地下經濟體中高居榜首,原因令每一家醫療機構和製藥企業都應警惕:醫療記錄不會過期。被盜的信用卡可以註銷,被破解的密碼可以重置,但患者的診斷史、處方記錄、心理健康檔案、手術詳情和生物特徵數據,既無法撤銷,也無法重新簽發。正是這種永久性,使醫療數據對犯罪分子具有獨特價值,對患者構成獨特威脅。

患者安全的隱憂

圍繞醫療網路犯罪的討論,往往止步於運營中斷和經濟損失,這是不夠的。被盜的醫療記錄可被用於以敏感診斷資訊為籌碼的定向勒索;可用於醫療身份盜竊——即有人以他人身份就醫,將錯誤的血型、過敏資訊或用藥記錄寫入受害者的病歷,由此引發的臨床風險真實存在,且很大程度上尚未得到量化評估。

包含醫療數據的完整身份資訊包(在地下市場中稱為"medical fullz")比標準金融身份資訊包的單條溢價更高。一份典型的medical fullz通常包含:姓名、出生日期、診斷代碼、保險單及理賠編號、處方記錄和僱主資訊。如此豐富的資訊,可在一條記錄中同時支撐保險欺詐、處方欺詐和身份盜竊。

偽造文件市場則在此之上疊加了新的風險層。偽造的醫生診斷證明、殘疾認定書和病假證明被大量交易,起價僅為25美元。此類交易雖集中於拉丁美洲論壇,但來自美國和中國的需求也在湧現。對於本已面臨處方欺詐和福利濫用困境的醫療體系而言,這是一條正在擴張的新戰線。

地下經濟的運作機制

理解其運作機制至關重要,因為這正是醫療機構如今所面臨的攻擊速度和規模的根源。醫療網路犯罪已不再需要一個複雜攻擊者獨立完成全套操作,地下生態已演化出分工明確的專業角色。

初始訪問中間商負責發現和利用醫療網路中的漏洞,並出售入侵權限。研究發現,例如一家以色列牙科影像診所的訪問權限掛價100美元,一家加拿大電子病歷(EMR)軟體公司的VPN訪問權限則標價400美元。這些入口隨後流入勒索軟體即服務(RaaS)運營體系,專屬市場負責處理提取數據的下游銷售。僅憑證銷售一項,就占據地下醫療市場活動量的8.2%,數據來源通常是資訊竊取惡意軟體,以及針對電子健康記錄(EHR)平台、醫院門戶和醫療SaaS應用的組合列表。

這種分工意味著低技能攻擊者只需購買所需的單一環節即可參與其中。入門門檻大幅降低,攻擊量也隨之攀升。

供應商問題

對整個醫療生態而言,研究中最值得警惕的發現,是針對EHR和EMR軟體供應商的攻擊。攻破單一供應商,可能在一次入侵中暴露數十乃至數百家下游機構的患者數據。這絕非假設性風險——研究記錄到醫療科技平台訪問權限的活躍交易,此類供應商的中型數據集在地下市場的報價在1,000至8,000美元之間。

對於製藥公司、合同研究機構,以及一切與臨床數據流相連的機構而言,這構成了單靠內部安全管控無法消除的依賴性風險。自身的防禦或許已經穩固,但關鍵在於:你所依賴的每一個系統和供應商,是否也同樣如此?

跨語言的全球市場

醫療數據地下市場並不局限於英語論壇。英語在市場活動中占比63.3%,但土耳其語社區占比13.9%,葡萄牙語論壇(很可能來自巴西)占比11.2%。俄語論壇在歷史上與網路犯罪高度關聯,但在醫療數據交易中僅占3%,不過俄語系攻擊者在完整身份和身份欺詐領域仍占據主導。

區域專業化特徵明顯:土耳其行為者主要分發EHR泄露數據,德語市場聚焦處方藥銷售,阿拉伯語掛單則來自中東醫療系統的泄露事件。這種地理多樣性增加了溯源難度,也意味著單一地區的執法行動無法獨力遏制這一問題。

少數團體的高度集中

勒索軟體泄露活動呈現出另一番規律。研究覆蓋95個勒索軟體運營團伙部落格,共識別出7,610條醫療相關泄露帖子。其中,Rhysida和Interlock兩個團伙合計占所有公開醫療數據的68.5%。這種高度集中既是警示,也在一定程度上意味著機遇——即便只打擊少數最活躍的團伙,也可能顯著減少流入地下市場的醫療數據總量。

行業的應對方向

醫療數據地下經濟已高度結構化、全球化且自我持續運轉。應對這一威脅,需要從將泄露事件視為孤立事故的思維定式中跳脫出來,轉而理解患者數據從被盜、打包、轉售,到在多個犯罪渠道中被反覆利用的完整生命周期。

這意味著對第三方和供應商風險的監控必須是持續性的,而非一年一次的評估。這意味著將已泄露醫療記錄的再利用周期,視為頭等患者安全問題,而非事後的合規議題。這也意味著必須接受一個令人不安的現實:在這個經濟體中,一次泄露並不會隨著贖金支付或系統恢復而畫上句號。數據在頭條退去許久之後,仍在持續為犯罪分子創造價值。

Q&A

Q1:什麼是"medical fullz"?它包含哪些資訊?

A:Medical fullz是地下市場對包含醫療數據的完整身份資訊包的稱呼。一份典型的medical fullz通常包含姓名、出生日期、診斷代碼、保險單及理賠編號、處方記錄和僱主資訊。由於資訊高度完整,犯罪分子可憑藉一條記錄同時實施保險欺詐、處方欺詐和身份盜竊,其單條價格通常高於普通金融身份資訊包。

Q2:醫療數據為什麼比信用卡數據更值錢?

A:核心原因在於醫療數據的"永久性"。信用卡被盜後可以註銷,密碼泄露後可以重置,但患者的診斷史、處方記錄、手術資訊和生物特徵數據無法撤銷或重新簽發。這種不可更改性使醫療數據對犯罪分子具有長期利用價值,也因此在地下市場中價格更高、流通時間更長。

Q3:EHR和EMR軟體供應商為什麼會成為攻擊目標?

A:攻擊軟體供應商是一種高效率的入侵策略。一旦攻破單一供應商,攻擊者可能在一次入侵中同時獲取數十乃至數百家下游醫療機構的患者數據。研究顯示,此類供應商的中型數據集在地下市場的報價在1,000至8,000美元之間,攻擊回報可觀,因此成為犯罪分子重點瞄準的目標。

宅中地 - Facebook 分享 宅中地 - Twitter 分享 宅中地 - Whatsapp 分享 宅中地 - Line 分享
相關內容
Copyright ©2026 | 服務條款 | DMCA | 聯絡我們
宅中地 - 每日更新