Producent Ozempiku nie zapłacił okupu. Hakerzy sprzedają 1,3 TB danych z badań klinicznych

Grupa cyberprzestępcza FulcrumSec twierdzi, że zdobyła 1,3 TB danych należących do Novo Nordisk, firmy odpowiedzialnej za produkcję niezwykle popularnych leków Ozempic i Wegovy. Po odmowie zapłacenia okupu w wysokości 25 mln dolarów napastnicy zapowiadają nowy krok, prywatną sprzedaż przejętych informacji.

Sprawa nabrała tempa zaledwie kilka dni po tym, jak duński gigant farmaceutyczny rozpoczął informowanie pacjentów i personelu medycznego o incydencie bezpieczeństwa obejmującym dane związane z badaniami klinicznymi.

Novo Nordisk potwierdza incydent bezpieczeństwa

Firma oficjalnie przyznała, że doszło do nieautoryzowanego dostępu do części danych przechowywanych w jej systemach. Według opublikowanego komunikatu nieznana osoba trzecia skopiowała określone informacje poza infrastrukturę przedsiębiorstwa. Novo Nordisk podkreśla, że naruszenie dotyczyło ograniczonej liczby uczestników wybranych badań klinicznych. Wśród ujawnionych danych mogły znaleźć się identyfikatory pacjentów, informacje o uczestnictwie w badaniach, rok urodzenia, płeć, biomarkery, dane zdrowotne oraz wybrane informacje dotyczące stylu życia.

Koncern zaznacza, że dane były pseudonimizowane. Nie zawierały bezpośrednich identyfikatorów pozwalających łatwo powiązać konkretną osobę z wynikami badań. Firma utrzymuje również, że jej podstawowa działalność operacyjna nie została zakłócona.

Hakerzy przedstawiają znacznie poważniejszy scenariusz

Wersja wydarzeń prezentowana przez FulcrumSec jest znacznie bardziej alarmująca. Cyberprzestępcy twierdzą, że przez ponad dwa miesiące pozostawali wewnątrz środowiska informatycznego Novo Nordisk. W tym czasie mieli przejąć ogromny zbiór danych obejmujący nie tylko dokumentację badań klinicznych, ale również kod źródłowy, dokumentację pracowniczą, zasoby związane ze sztuczną inteligencją oraz informacje dotyczące rozwoju nowych leków.

Według grupy wśród zdobytych materiałów znajdują się dane dotyczące programów farmaceutycznych, które nigdy nie zostały publicznie ujawnione. Hakerzy twierdzą również, że uzyskali dostęp do informacji związanych z procesami produkcyjnymi wykorzystywanymi przy lekach z grupy GLP-1, stanowiących fundament obecnego sukcesu biznesowego Novo Nordisk.

To właśnie te informacje mogą mieć największą wartość dla potencjalnych nabywców.

25 milionów dolarów nie przekonało firmy

FulcrumSec przekonuje, że przez kilka tygodni prowadził rozmowy z przedstawicielami koncernu. Celem negocjacji miało być powstrzymanie publikacji części materiałów w zamian za okup wynoszący 25 mln dolarów. Według hakerów Novo Nordisk ostatecznie odmówił zapłaty. W odpowiedzi grupa ogłosiła, że analizuje możliwość sprzedaży przejętych danych wybranym zainteresowanym podmiotom.

Tego typu deklaracje należą do najpoważniejszych zagrożeń dla firm działających w sektorze farmaceutycznym. W przeciwieństwie do klasycznych wycieków danych klientów stawką mogą być wieloletnie badania naukowe, własność intelektualna i dokumentacja projektów pochłaniających miliardy dolarów.

Uczestnicy badań klinicznych pozostają najbardziej narażeni

Eksperci ds. cyberbezpieczeństwa zwracają uwagę, że nawet częściowo zanonimizowane dane medyczne mogą przedstawiać dużą wartość dla cyberprzestępców. Pojedyncze elementy, takie jak rok urodzenia, płeć czy informacje zdrowotne, mogą zostać zestawione z danymi pochodzącymi z innych wycieków. Taki proces pozwala stopniowo odtwarzać tożsamość osób, których dane pierwotnie miały pozostać anonimowe.

Dodatkowym zagrożeniem są kampanie phishingowe. Cyberprzestępcy dysponujący szczegółowymi informacjami medycznymi mogą przygotowywać wyjątkowo wiarygodne wiadomości, podszywając się pod lekarzy, placówki medyczne lub organizatorów badań klinicznych.

Ponad 700 tysięcy plików i tysiące repozytoriów kodu

Manifest opublikowany przez FulcrumSec zawiera szczegółową listę materiałów, które rzekomo znalazły się w rękach napastników. Grupa twierdzi, że przejęła ponad 700 tys. plików, dane około 11,5 tys. uczestników badań klinicznych, 163 tys. rekordów pracowników oraz tysiące prywatnych repozytoriów kodu źródłowego.

Hakerzy przekonują również, że uzyskali dostęp do dziesiątek modeli sztucznej inteligencji wykorzystywanych wewnętrznie przez firmę oraz informacji dotyczących ponad 41 tys. eksperymentalnych związków farmaceutycznych.

Novo Nordisk nie potwierdził publicznie tych rewelacji. Niezależna weryfikacja skali rzekomej kradzieży pozostaje obecnie niemożliwa.

Kim jest FulcrumSec?

FulcrumSec pojawił się na radarach specjalistów od cyberbezpieczeństwa stosunkowo niedawno. Grupa rozpoczęła działalność pod koniec 2025 roku i szybko zwróciła na siebie uwagę głośnymi atakami na duże organizacje.

Analitycy klasyfikują ją raczej jako handlarza skradzionymi danymi niż klasyczny gang ransomware. Zamiast blokowania infrastruktury ofiar i szyfrowania plików, członkowie grupy koncentrują się na przejmowaniu informacji, a następnie wykorzystywaniu ich do szantażu lub sprzedaży.

Kilka miesięcy temu FulcrumSec przyznał się również do naruszenia bezpieczeństwa systemów LexisNexis, jednego z największych dostawców danych i analiz prawnych na świecie.