A gangue de ransomware Termite assumiu a responsabilidade pelo furto de dados sensíveis de saúde em uma recente violação na Genea, um dos maiores provedores de serviços de fertilidade da Austrália.
O provedor de FIV (fertilização in vitro) atua desde 1986 (quando era conhecido como Sydney IVF) e oferece uma ampla gama de serviços, incluindo tratamentos de fertilidade, testes, serviços genéticos, opções de preservação e programas de doadores, em 22 clínicas de fertilidade em New South Wales, South Australia, Western Australia, Melbourne, Canberra e Queensland.
De acordo com a emissora nacional da Austrália, a Genea e outras duas empresas (Monash IVF e Virtus) representam mais de 80% da receita total do setor no país.
A Genea revelou pela primeira vez na última quarta-feira que estava investigando um "incidente cibernético" após detectar "atividades suspeitas" em sua rede.
Em um comunicado atualizado emitido hoje, o gigante dos serviços de fertilidade confirmou que os atacantes roubaram dados de seus sistemas, que posteriormente foram publicados online.
A empresa disse que obteve uma injunção judicial para impedir que os dados vazados fossem compartilhados por outros, e também está trabalhando com o Australian Cyber Security Centre para investigar o incidente.
A ordem judicial, que foi redigida, revela que os atores da ameaça violaram a rede da Genea em 31 de janeiro de 2025, através de um servidor Citrix.
Posteriormente, eles obtiveram acesso ao servidor de arquivos principal da empresa, ao controlador de domínio, ao programa de backup e ao sistema principal de gestão de pacientes BabySentry.
Duas semanas depois, em 14 de fevereiro, os atacantes exfiltraram 940,7GB de dados dos sistemas comprometidos da Genea para um servidor na nuvem DigitalOcean sob seu controle.
A investigação em andamento também descobriu que os sistemas de gestão de pacientes comprometidos da Genea continham os seguintes tipos de dados pessoais e de saúde, com as informações expostas variando para cada indivíduo afetado:
- Nomes completos, e-mails, endereços, números de telefone, data de nascimento, contatos de emergência e próximos parentes,
- Números de cartão Medicare, detalhes de seguros de saúde privados, números DA da Defesa, números de registros médicos, números dos pacientes,
- Histórico médico, diagnósticos e tratamentos, medicamentos e prescrições, questionários de saúde do paciente, resultados de testes patológicos e diagnósticos, anotações de médicos e especialistas, detalhes de consultas e agendas.
"Até o momento, não há evidências de que qualquer informação financeira, como detalhes de cartão de crédito ou números de conta bancária, tenha sido impactada por este incidente", acrescentou a Genea.
"Também notificamos o Office of the Australian Information Commissioner sobre o desenvolvimento mais recente neste incidente", disse um porta-voz da Genea.
Embora a Genea não tenha atribuído o ataque a um grupo de ameaças ou operação de cibercrime específica, a gangue de ransomware Termite reivindicou a responsabilidade na segunda-feira(24).
Em uma nova entrada em seu site de vazamentos na dark web, eles disseram que roubaram aproximadamente 700GB de dados e vazaram capturas de tela de documentos de identificação e arquivos de pacientes supostamente roubados da rede da Genea.
"Temos ~700gb de dados dos servidores da empresa, como dados pessoais confidenciais dos clientes", afirmam os atores da ameaça.
Termite é uma operação de ransomware que surgiu em meados de outubro, de acordo com a empresa de inteligência de ameaças Cyjax, e desde então listou 18 vítimas em seu portal na dark web de todo o mundo e diversos setores da indústria.
Em dezembro, a gangue de ransomware também afirmou ter violado a rede do provedor de serviço (SaaS) sediado no Arizona, Blue Yonder.
Este provedor de software de cadeia de suprimentos mundial tem mais de 3.000 clientes, incluindo empresas de alto perfil como Microsoft, Renault, Bayer, Tesco, Lenovo, DHL, 3M, Ace Hardware, Procter & Gamble, Carlsberg, Dole, Wallgreens, Western Digital e 7-Eleven.
Como outras gangues de ransomware, o grupo de cibercrime Termite está envolvido em furto de dados, extorsão e ataques de criptografia.
De acordo com a empresa de cibersegurança Trend Micro, eles estão usando uma versão do encriptador Babuk vazada em setembro de 2021 e são conhecidos por deixar uma nota de resgate "How To Restore Your Files.txt" nos sistemas criptografados das vítimas.
A Trend Micro também adicionou que o encriptador de ransomware do Termite provavelmente ainda está em desenvolvimento, pois terminará prematuramente devido a uma falha na execução do código.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...