Sjukhus drabbat av utpressningsattack – 337 917 patienters uppgifter exponerade

Utpressningsattacken mot Cookeville Regional Medical Center: Vad hände

Ett stort dataintrång vid Cookeville Regional Medical Center (CRMC) i Tennessee har drabbat nästan 338 000 personer, vilket gör det till ett av de mer betydande sjukvårdsrelaterade utpressningsincidenterna som rapporterats under de senaste månaderna. Sjukhuset meddelade officiellt tillsynsmyndigheter om intrånget och uppger att attacken utfördes av utpressningsgruppen Rhysida, en kriminell organisation med en dokumenterad historia av att rikta in sig på vårdinrättningar.

Enligt CRMCs upplysningar exfiltrerade angriparna ungefär 500 GB känslig data innan intrånget begränsades. Den komprometterade informationen inkluderar patientnamn, personnummer, journaler och ekonomiska kontouppgifter. CRMC började skicka notifieringsbrev till de 337 917 berörda personerna den 18 april 2026, efter en lång kriminalteknisk undersökning av incidentens omfattning och karaktär.

Tidsglappet mellan attacken och notifieringen speglar hur komplexa dessa utredningar kan vara. Sjukvårdsorganisationer måste noggrant fastställa exakt vilka uppgifter som åtkoms, vem som äger dem och vilka regulatoriska skyldigheter som gäller innan de kontaktar de drabbade.

Vad utpressningsgruppen Rhysida gör

Rhysida är en utpressningsprogram-som-tjänst-operation som har varit aktiv sedan åtminstone 2023. Gruppen får vanligtvis initial åtkomst via nätfiskemejl eller genom att utnyttja stulna inloggningsuppgifter, för att sedan röra sig lateralt genom ett nätverk innan de exfiltrerar data och driftsätter kryptering. Den dubbla utpressningsmodellen innebär att offren både ställs inför låsta system och hotet om att deras uppgifter publiceras eller säljs om en lösensumma inte betalas.

Sjukvårdsorganisationer är vanliga måltavlor eftersom de innehar högt värderade personliga och medicinska uppgifter, ofta driver äldre system med kända sårbarheter och befinner sig under enormt tryck att snabbt återställa tjänster. Det trycket kan göra dem mer benägna att betala lösensummor, vilket i sin tur gör dem till attraktiva mål.

Intrånget vid CRMC är en fallstudie i hur ett enda lyckat intrång kan äventyra uppgifter för hundratusentals personer, inklusive information som är lika känslig som sjukdomshistorik och personnummer.

Vad detta innebär för dig

Om du har fått ett notifieringsbrev från CRMC, eller om du har varit patient på sjukhuset, finns det konkreta åtgärder du bör vidta nu.

Övervaka dina finansiella konton noga. Intrånget exponerade ekonomiska kontouppgifter tillsammans med personligt identifierbar information. Kontrollera bank- och kreditkortsutdrag regelbundet för okända transaktioner. Kontakta din bank om du märker något misstänkt.

Lägg en kreditfrysning eller bedrägerivarning. Eftersom personnummer var bland de komprometterade uppgifterna löper drabbade personer förhöjd risk för identitetsstöld. En kreditfrysning hos alla tre stora kreditupplysningsföretag (Equifax, Experian och TransUnion) förhindrar att nya konton öppnas i ditt namn utan ditt uttryckliga godkännande. En bedrägerivarning är ett lättare alternativ som flaggar din fil för extra granskning.

Var uppmärksam på nätfiskeförsök. Angripare som förvärvar uppgifter i intrång som detta använder dem ofta för att utforma övertygande uppföljande nätfiskemejl eller telefonsamtal. Var skeptisk till oombedda kommunikationer som refererar till din sjukvård, särskilt sådana som ber dig klicka på en länk eller lämna ytterligare personlig information.

Läs notifieringsbrevet noga. CRMCs brev bör innehålla uppgifter om vilken specifik information som berördes i ditt fall, samt eventuella kreditövervakningstjänster eller identitetsskyddstjänster som sjukhuset erbjuder. Utnyttja dessa tjänster om de är tillgängliga.

Hur sjukvårdsorganisationer och personal kan minska risker

För sjukvårdspersonal och administratörer belyser incidenter som CRMC-intrånget vikten av skiktade säkerhetsrutiner. Stöld av inloggningsuppgifter är en av de vanligaste ingångspunkterna för utpressningsgrupper. Att använda ett VPN, särskilt på oskyddade eller offentliga nätverk, hjälper till att kryptera trafik och minskar risken att inloggningsuppgifter avlyssnas under överföring. Detta är särskilt relevant för sjukvårdspersonal som fjärransluter till patientjournaler eller sjukhussystem.

Utöver VPN-användning är stark lösenordshygien och multifaktorautentisering på alla system som hanterar skyddad hälsoinformation avgörande. Utbildning i nätfiskemedvetenhet är fortfarande ett av de mest effektiva skydden mot de initiala intrångstaktiker som grupper som Rhysida förlitar sig på.

Regelbundna granskningar av vem som har åtkomst till känsliga system, i kombination med åtkomstkontroller baserade på minsta nödvändiga behörighet, kan också begränsa hur långt en angripare kan röra sig väl inne i ett nätverk. De 500 GB som exfiltrerades från CRMC tyder på att angriparna hade tid och åtkomst att röra sig genom betydande delar av sjukhusets datamiljö.

Att ligga steget före sjukvårdsrelaterade intrång

Dataintrånget vid CRMC påminner oss om att sjukvårdsdata hör till den känsligaste information som finns. Journaler kombinerar personliga identifierare, ekonomiska uppgifter och intim hälsohistorik i en enda fil, vilket gör dem enormt värdefulla för kriminella och enormt skadliga när de exponeras.

Om du är drabbad av detta intrång, agera snabbt. Frys din kredit, övervaka dina konton och var uppmärksam på nätfiske. Om du arbetar inom sjukvården, ta detta som en påminnelse att se över dina egna säkerhetsvanor, inklusive hur och var du ansluter till patientsystem. Verktygen för att minska personlig risk finns tillgängliga – nyckeln är att använda dem konsekvent innan en incident tvingar fram frågan.