Cuộc tấn công xảy ra vào rạng sáng ngày thứ Hai, 28/9 (theo giờ Mỹ), theo thông tin từ các nhân viên của Universal Health Services (UHS) trên Reddit và các nền tảng khác.
Trên Reddit, một cuộc thảo luận với hàng trăm bình luận chỉ ra rằng nhiều địa điểm của UHS thực sự đã ngừng hoạt động, nhân viên được yêu cầu quay trở lại với các hoạt động thủ công (thay vì máy móc).
Trong một tuyên bố chính thức được đưa ra vào hôm qua (28/9), UHS lưu ý: "Mạng công nghệ thông tin (CNTT) tại các cơ sở của UHS hiện đang ngưng hoạt động do một vấn đề liên quan đến bảo mật. Chúng tôi đang triển khai các giao thức bảo mật CNTT rộng rãi và đang làm việc tích cực với các đối tác bảo mật CNTT để khôi phục hoạt động CNTT nhanh nhất có thể. Trong khi chờ đợi, các cơ sở của chúng tôi đang sử dụng các quy trình sao lưu đã thiết lập, bao gồm các phương pháp lưu trữ tài liệu ngoại tuyến. Việc chăm sóc bệnh nhân vẫn tiếp tục được thực hiện một cách an toàn và hiệu quả".
UHS cũng cho biết thêm: "Dường như không có dữ liệu bệnh nhân hoặc nhân viên nào bị truy cập, sao chép hoặc bị xâm phạm".
Mặc dù UHS không đề cập cụ thể đến loại tấn công nào mà họ đang phải gánh chịu, nhưng thông tin từ các nhân viên cho thấy dường như Ryuk là thủ phạm. Ví dụ, một nhân viên nói với BleepingComputer rằng, các tệp được mã hóa đang kết nối với phần mở rộng .RYK; và một thông báo đòi tiền chuộc hiển thị trên tất cả các máy tính bị ảnh hưởng đề cập đến cụm từ "Shadow of the Universe" (Bóng tối của vũ trụ), được biết là có trong thông báo tiền chuộc của Ryuk.
Đây là tình huống tương tự với một sự cố trong tháng này tại bệnh viện Đại học Dusseldorf, nơi một cuộc tấn công bằng mã độc tống tiền đã dẫn đến việc bệnh viện phải chuyển các bệnh nhân cấp cứu sang các bệnh viện khác.
Theo báo cáo của Bộ Tư pháp Hoa Kỳ, một bệnh nhân đã tử vong và các bệnh nhân cấp cứu buộc phải chuyển đến một bệnh viện xa hơn ở Wuppertal vì bệnh viện Đại học Dusseldorf bị mã độc tấn công vào máy chủ.