Le gang de ransomwares Termite a revendiqué la responsabilité de la violation et du vol de données de santé sensibles appartenant à Genea patients, l’un des plus grands fournisseurs de services de fertilité d’Australie.
Le fournisseur de FIV (fécondation in vitro) existe depuis 1986 (époque où il était connu sous le nom de Sydney IVF). Il offre une large gamme de services, y compris des traitements de fertilité, des tests, des services génétiques, des options de préservation et des programmes de donneurs, dans 22 cliniques de fertilité en Nouvelle-Galles du Sud, Australie du Sud, Australie occidentale, Melbourne, Canberra et Queensland.
Selon le radiodiffuseur national australien, Genea et deux autres sociétés (Monash IVF et Virtus) représentent plus de 80% des revenus totaux de l’industrie dans le pays.
Genea a révélé pour la première fois mercredi dernier qu’elle avait enquêté sur un « cyber incident » après avoir détecté une « activité suspecte » sur son réseau. Dans une déclaration mise à jour publiée aujourd’hui, le géant des services de fertilité a confirmé que les attaquants avaient volé des données de ses systèmes, qui ont ensuite été publiées en ligne.
La société a déclaré avoir obtenu une injonction ordonnée par un tribunal pour empêcher que les données divulguées ne soient partagées par d’autres, et elle travaille également avec le Bureau du Commissaire australien à l’information et le Centre australien de cybersécurité pour enquêter sur un incident.
L’ordonnance du tribunal expurgée révèle que les auteurs de la menace ont violé le réseau de Genea le 31 janvier 2025 via un serveur Citrix. Par la suite, ils ont eu accès au serveur de fichiers principal, au contrôleur de domaine, au programme de sauvegarde et au système principal de gestion des patients de BabySentry de l’entreprise. Deux semaines plus tard, le 14 février, les attaquants ont exfiltré 940,7 Go de données des systèmes compromis de Genea vers un serveur cloud DigitalOcean sous leur contrôle.
L’enquête en cours a également révélé que les systèmes de gestion des patients compromis de Genea contenaient les types de données personnelles et de santé suivants, les informations exposées variant pour chaque individu affecté:
- Noms complets, adresses électroniques, adresses, numéros de téléphone, date de naissance, contacts d’urgence et proches parents,
- Numéros de carte Medicare, détails de l’assurance maladie privée, numéros de DA de la défense, numéros de dossier médical, numéros de patient,
- Antécédents médicaux, diagnostics et traitements, médicaments et ordonnances, questionnaire sur la santé du patient, résultats des tests de pathologie et de diagnostic, notes des médecins et spécialistes, détails des rendez-vous et horaires.
« À ce stade, il n’y a aucune preuve que des informations financières telles que les détails de carte de crédit ou les numéros de compte bancaire aient été affectées par cet incident », a ajouté Genea.
« L’enquête est cependant en cours, et nous vous tiendrons au courant de toute autre découverte pertinente si elle venait à être révélée. »
Un porte-parole général n’a pas répondu à plusieurs demandes de commentaires depuis que la société a révélé la violation le 19 février.
Violation revendiquée par Termite ransomware
Bien que Genea n’ait pas attribué l’attaque à un groupe de menaces spécifique ou à une opération de cybercriminalité, le gang de ransomware Termite a revendiqué la responsabilité lundi.
Dans une nouvelle entrée sur leur site de fuite sur le dark Web, ils ont déclaré avoir volé environ 700 Go de données et divulgué des captures d’écran de documents d’identité et de fichiers de patients prétendument volés sur le réseau de Genea.
« Nous disposons d’environ 700 Go de données provenant des serveurs de l’entreprise, telles que des données personnelles confidentielles des clients », affirment les auteurs de la menace.
Termite est une opération de ransomware qui a fait surface à la mi-octobre, selon la société de renseignement sur les menaces Cyjax, et a depuis répertorié 18 victimes sur son portail dark Web du monde entier et de divers secteurs industriels.
En décembre, le gang de ransomwares a également affirmé avoir violé le réseau du fournisseur de services (SaaS) Blue Yonder, basé en Arizona. Ce fournisseur mondial de logiciels de chaîne d’approvisionnement compte plus de 3 000 clients, dont des sociétés de premier plan telles que Microsoft, Renault, Bayer, Tesco, Lenovo, DHL, 3M, Ace Hardware, Procter & Gamble, Carlsberg, Dole, Wallgreens, Western Digital et 7-Eleven.
Comme d’autres gangs de ransomwares, le groupe de cybercriminalité Termite est impliqué dans le vol de données, l’extorsion et les attaques de cryptage. Selon la société de cybersécurité Trend Micro, ils utilisent une version du cryptographe Babuk divulguée en septembre 2021 et sont connus pour laisser tomber un « Comment restaurer vos fichiers.demande de rançon » txt » sur les systèmes cryptés des victimes.
Trend Micro a également ajouté que le chiffreur de ransomware de Termite est probablement encore en cours de développement, car il se terminera prématurément en raison d’un défaut d’exécution de code.