Dunia kesehatan diguncang gelombang serangan siber terbesar dalam sejarah sepanjang tahun 2024. Lebih dari 276 juta data pasien dilaporkan bocor secara global, dengan salah satu ancaman paling serius datang dari malware canggih bernama MedStealer.

Malware ini secara khusus menyasar sistem rekam medis elektronik (EHR), basis data asuransi kesehatan, dan portal pasien, menargetkan rumah sakit, klinik, hingga penyedia layanan pihak ketiga yang rentan terhadap serangan.

Pertama kali terdeteksi pada awal 2024, MedStealer mengeksploitasi kerentanan sistem IT lama di rumah sakit dan jaringan vendor pihak ketiga yang belum diperbarui.

Menurut analisis dari Check Point, malware ini didistribusikan melalui kampanye spear-phishing yang menyamar sebagai email konfirmasi janji temu dari platform medis populer seperti Zocdoc. Email ini menyisipkan lampiran PDF berbahaya yang berisi JavaScript dropper tersembunyi.

Begitu dibuka, PDF tersebut akan memicu perintah PowerShell untuk mengunduh payload malware dari server C2 (command-and-control). Teknik ini memungkinkan penyerang melewati deteksi filter email dengan menggunakan kredensial staf medis yang telah dikompromikan.

Tujuan utama MedStealer adalah mencuri informasi pribadi pasien (PII), riwayat medis, dan detail asuransi, yang kemudian dijual di pasar gelap daring (dark web) dengan harga lebih dari $1.000 (sekitar Rp16 juta) per catatan.

Dampak dari serangan ini sangat luas:

• Terjadinya penipuan asuransi,
• Penjualan obat resep secara ilegal,
• Hingga kesalahan medis serius akibat rekam medis yang diubah oleh peretas.

Beberapa rumah sakit juga mengalami gangguan operasional dan keterlambatan perawatan karena sistem terkunci oleh ransomware yang menyertai infeksi.

MedStealer menggabungkan rekayasa sosial (social engineering) dengan kode yang sangat obfuscated (disamarkan). Ia menggunakan teknik process hollowing untuk menyusup ke proses Windows sah seperti svchost.exe, dan membuat tugas terjadwal (scheduled task) bernama "HealthMonitor" agar tetap aktif secara berkala:

schtasks /create /tn "HealthMonitor" /tr "C:\Windows\System32\med_update.exe" /sc hourly /mo 12

Data korban kemudian diekstraksi melalui DNS tunneling, yang menyamarkan lalu lintas data curian sebagai trafik HTTPS biasa untuk menghindari deteksi.

Lebih lanjut, MedStealer juga mengeksploitasi celah pada protokol DICOM, yang umum digunakan dalam sistem pencitraan medis (PACS), memungkinkan penyebaran lateral malware dalam jaringan rumah sakit.

Check Point mencatat telah memblokir lebih dari 7.000 upaya phishing terkait MedStealer sepanjang 2024 lewat sistem Harmony Email & Collaboration. Meski begitu, tingginya kompleksitas serangan menunjukkan perlunya pendekatan keamanan berlapis di sektor kesehatan.

Pakar keamanan mendesak organisasi kesehatan untuk:

• Segera memperbarui sistem dan perangkat lunak,
• Melatih staf terhadap ancaman siber modern,
• Mengadopsi arsitektur zero-trust,
• Serta menerapkan deteksi anomali berbasis kecerdasan buatan (AI).

Ancaman seperti MedStealer menunjukkan bahwa data kesehatan adalah aset bernilai tinggi di mata pelaku kejahatan siber. Tanpa perlindungan yang kuat dan respons yang cepat, pasien bukan hanya menghadapi kehilangan privasi, tetapi juga risiko keselamatan nyawa.