Een Amerikaanse pediatrische kliniek heeft ruim 55.000 patiënten gewaarschuwd dat hun gegevens mogelijk zijn gecompromitteerd nadat ransomware de netwerkservers van de kliniek infecteerde en allerlei bestanden versleutelde. Ook wordt niet uitgesloten dat er gegevens van patiënten zijn gestolen.

De infectie deed zich in februari voor. Volgens de kliniek zorgde de aanwezige anti-virussoftware ervoor dat de versleuteling werd vertraagd. Na ontdekking van de ransomware werden de servers in kwestie offline gehaald. Verder onderzoek wees uit dat de machines via de "Dharma Ransomware" waren geïnfecteerd. Dit is een variant van de Crysis-ransomware die zich via het remote desktop protocol (rdp) verspreid. Volgens de kliniek steelt deze ransomware normaal geen gegevens, maar kan het ook niet worden uitgesloten.

Daar komt bij dat er tijdens het onderzoek naar de infectie verschillende verdachte accounts werden ontdekt, waardoor wordt vermoed dat de aanvallers toegang tot het netwerk van de kliniek hadden. De kliniek sluit dan ook niet uit dat namen, adresgegevens, telefoonnummer, geboortedatum, demografische informatie, social security nummer, verzekeringsgegevens, medische dossiers en laboratoriumuitslagen in handen van de aanvallers zijn gekomen.

De versleutelde gegevens konden dankzij een back-up, die op een beveiligde losstaande server werd opgeslagen, worden hersteld. Er zouden dan ook geen vertrouwelijke gegevens verloren zijn gegaan. De kliniek benadrukt dat het nooit benaderd is om losgeld voor het ontsleutelen van de bestanden te betalen. Hoe de infectie precies kon plaatsvinden is niet bekendgemaakt, maar de kliniek stelt dat het maatregelen heeft getroffen om herhaling te voorkomen.