El grupo de ransomware Termite ha reclamado la responsabilidad del robo de datos sensibles en una reciente violación de seguridad de Genea, uno de los proveedores de servicios de fertilización in vitro más grandes de Australia.
Detalles del ataque a Genea
Genea, que opera desde 1986 (cuando se conocía como Sydney IVF), ofrece una amplia gama de servicios, incluyendo tratamientos de fertilidad, pruebas, servicios genéticos, opciones de preservación y programas de donantes, en 22 clínicas de fertilidad en varias regiones de Australia.
La empresa reveló por primera vez el miércoles pasado que estaba investigando un “incidente cibernético” tras detectar “actividad sospechosa” en su red.
En una declaración actualizada emitida hoy, Genea confirmó que los atacantes robaron datos de sus sistemas, los cuales luego fueron publicados en línea.
El 30 de enero de 2025, la brecha fue detectada a través de un servidor Citrix que permitió a los atacantes acceder al servidor de archivos principal de la compañía, al controlador de dominio, al sistema de respaldo y al sistema de gestión de pacientes BabySentry.
El 14 de febrero, los atacantes exfiltraron 940.7 GB de datos desde los sistemas comprometidos de Genea a un servidor en la nube de DigitalOcean.
Datos expuestos en la brecha
Los datos comprometidos incluyen información personal y médica sensible, que varía según el individuo afectado, e incluyen:
- Datos personales: nombres completos, correos electrónicos, direcciones, números de teléfono, fechas de nacimiento, contactos de emergencia, y familiares cercanos.
- Datos médicos: números de tarjeta Medicare, detalles de seguros de salud privados, números de DA de Defensa, números de registro médico, números de pacientes, historial médico, diagnósticos y tratamientos, medicamentos y recetas, cuestionarios de salud de pacientes, resultados de pruebas diagnósticas y de laboratorio, notas de médicos y especialistas, y detalles de citas y horarios.
Genea aseguró que no hay evidencia de que se hayan visto afectados datos financieros como detalles de tarjetas de crédito o números de cuentas bancarias.
Reclamación de la brecha por parte de Termite
Aunque Genea no atribuyó el ataque a un grupo de cibercriminales específico, el grupo de ransomware Termite reclamó la responsabilidad el lunes en su portal de filtración en la web oscura.
Termite alegó haber robado aproximadamente 700 GB de datos y publicó capturas de pantalla de documentos de identificación y archivos de pacientes supuestamente robados de la red de Genea.
“Tenemos ~700 GB de datos de los servidores de la empresa, como datos confidenciales y personales de los clientes,” afirmaron los atacantes.
El grupo de ransomware Termite
Termite es una operación de ransomware que apareció en octubre de 2024, según la firma de inteligencia de amenazas Cyjax, y desde entonces ha listado 18 víctimas en su portal oscuro de todo el mundo y de diversos sectores industriales.
En diciembre, el grupo de ransomware también reclamó haber violado la red de la proveedora de servicios Blue Yonder, que ofrece software para la gestión de cadenas de suministro y cuenta con más de 3,000 clientes, incluidos gigantes como Microsoft, Renault, Bayer, Tesco, Lenovo, DHL, 3M y muchos otros.
Al igual que otros grupos de ransomware, Termite está involucrado en el robo de datos, extorsión y ataques de cifrado. Según la firma de ciberseguridad Trend Micro, el grupo está utilizando una versión del cifrador Babuk que se filtró en septiembre de 2021 y es conocido por dejar una nota de rescate llamada “How To Restore Your Files.txt” en los sistemas cifrados de las víctimas.
Trend Micro también indicó que el cifrador de Termite probablemente aún está en desarrollo, ya que tiende a terminar prematuramente debido a un error de ejecución en el código.