Skala i przebieg ataku
Firma Genea, wcześniej znana jako Sydney IVF, działa na rynku od 1986 roku, oferując szeroki zakres usług związanych z leczeniem niepłodności, badaniami genetycznymi i przechowywaniem materiału biologicznego. Jej kliniki funkcjonują w różnych częściach Australii, m.in. w Melbourne, Canberze oraz Queensland. Wspólnie z Monash IVF i Virtus odpowiada za większość przychodów australijskiej branży leczenia niepłodności. Do incydentu doszło 31 stycznia 2025 roku, gdy cyberprzestępcy uzyskali dostęp do sieci firmy poprzez podatność w serwerze Citrix. Zaatakowane zostały kluczowe systemy, w tym serwer plików, kontroler domeny, system backupu oraz platforma zarządzania pacjentami BabySentry. Po dwóch tygodniach przestępcy skopiowali blisko terabajt danych i przenieśli je na serwer w chmurze DigitalOcean. Genea początkowo nie ujawniała szczegółów, informując jedynie o podejrzanej aktywności w swojej sieci. Dopiero w kolejnym komunikacie potwierdzono, że dane rzeczywiście zostały skradzione i częściowo udostępnione w internecie.
Rodzaj skradzionych danych
Wśród wykradzionych informacji znalazły się dane osobowe i zdrowotne pacjentów, obejmujące m.in. nazwiska, adresy, numery telefonów, dane kontaktowe bliskich osób, historię medyczną, diagnozy, zalecenia lekarskie, a także wyniki badań. Firma zapewniła, że na tym etapie nie ma dowodów na to, by atak objął dane finansowe, takie jak numery kart kredytowych czy rachunków bankowych.
Reakcja Genea i śledztwo
Genea podjęła natychmiastowe kroki w celu ograniczenia skutków incydentu. Uzyskano nakaz sądowy mający zapobiec dalszemu rozpowszechnianiu skradzionych informacji, a firma rozpoczęła współpracę z Australijskim Centrum Bezpieczeństwa Cybernetycznego. O sprawie poinformowano również Biuro Australijskiego Komisarza ds. Informacji. Śledztwo wciąż trwa, a specjaliści starają się ustalić pełen zakres szkód oraz sposób, w jaki przestępcy dostali się do systemów firmy.
Grupa Termite i jej działania
Pomimo braku oficjalnego komunikatu ze strony Genea wskazującego na konkretnego sprawcę, odpowiedzialność za atak wzięła na siebie grupa ransomware Termite. W poniedziałek cyberprzestępcy zamieścili na swojej stronie w dark webie wpis, w którym poinformowali, że posiadają 700 GB danych z serwerów Genea. Do wiadomości publicznej trafiły także zrzuty ekranu przedstawiające dokumenty tożsamości oraz dane pacjentów. Grupa twierdzi, że skradzione informacje obejmują szczegółowe dane osobowe klientów. Termite to stosunkowo nowa operacja ransomware, działająca od października 2024 roku. Według firmy Cyjax zajmującej się analizą zagrożeń, grupa ma już na swoim koncie ataki na 18 organizacji z różnych branż na całym świecie. W grudniu Termite zaatakowało również amerykańskiego dostawcę usług SaaS – Blue Yonder, obsługującego klientów takich jak Microsoft, Bayer, Tesco, Lenovo czy DHL. Ich działania koncentrują się na kradzieży danych i wymuszaniu okupu, a w swoich atakach wykorzystują zmodyfikowaną wersję programu szyfrującego Babuk, który wyciekł do sieci w 2021 roku.
Cyberzagrożenia dla sektora medycznego
Eksperci ds. cyberbezpieczeństwa zwracają uwagę, że operacja ransomware Termite może być wciąż rozwijana. Wskazuje na to m.in. fakt, że ich narzędzia szyfrujące nie zawsze działają poprawnie, co może prowadzić do przedwczesnego zakończenia ataku. Trend Micro zauważa, że metoda działania grupy opiera się na klasycznych schematach wymuszeń, w których ofiary są zmuszane do zapłaty w zamian za odzyskanie dostępu do swoich danych i powstrzymanie publikacji skradzionych informacji.
