Fabrikant van medische hulpmiddelen Medtronic heeft confirmed a cybersecurity breach nadat een groep dreigingsactoren beweerde miljoenen dossiers en interne bedrijfsgegevens te hebben gestolen.
Het bedrijf maakte bekend dat een ongeautoriseerde partij toegang had gekregen tot gegevens binnen delen van zijn IT-omgeving van het bedrijf. Het incident werd geïdentificeerd en ingeperkt, waarbij Medtronic een intern onderzoek startte en externe cybersecurityspecialisten inschakelde om de omvang en impact te beoordelen.
De onthulling van het leklek volgde op claims van de afpersingsgroep ShinyHunters, die Medtronic medio april op zijn leksite had vermeld. De groep beweerde meer dan 9 miljoen dossiers te hebben geëxfiltreerd, waaronder persoonlijk identificeerbare informatie, samen met grote hoeveelheden interne bedrijfsdossiers.
Volgens de aanvallers konden de gestolen gegevens openbaar worden gemaakt als de losgeldeisen niet binnen een gestelde termijn werden nagekomen. Medtronic heeft echter het volume of de exacte aard van de gegevens die in die claims worden genoemd niet bevestigd, en de vermelding is sindsdien verwijderd van het lekplatform van de groep.
In haar officiële verklaring benadrukte Medtronic dat de inbreuk beperkt was tot bedrijfs-IT-systemen en geen invloed had op de medische apparatuur, productieactiviteiten of patiëntenzorginfrastructuur. Het bedrijf verklaarde ook dat ziekenhuissystemen die aan hun producten gekoppeld zijn onafhankelijk worden beheerd en niet door het incident zijn getroffen.
Deze segmentatie tussen bedrijfs- en operationele netwerken lijkt een sleutelrol te hebben gespeeld in het beperken van de potentiële impact. Door kritieke systemen te isoleren, verminderde het bedrijf het risico dat aanvallers lateraal zouden bewegen naar omgevingen die gekoppeld zijn aan medische apparaten of zorgverlening.
Medtronic heeft niet bekendgemaakt hoe de aanvallers aanvankelijk toegang kregen en er zijn geen technische details over de inbraakmethode openbaar bevestigd. Het onderzoek loopt nog, waarbij het bedrijf probeert te bepalen of er toegang is tot gevoelige persoonsgegevens en of de getroffen personen op de hoogte moeten worden gesteld.
Het incident weerspiegelt een bredere trend in cybercrime-operaties, waarbij aanvallers prioriteit geven aan gegevensexfiltratie en afpersing boven systeemverstoring. In zulke gevallen wordt de dreiging van het publiceren van gestolen gegevens gebruikt als drukmiddel om organisaties onder druk te zetten tot onderhandelingen, zelfs wanneer de kernactiviteiten onaangetast blijven.
Naarmate het onderzoek vordert, benadrukt de zaak aanhoudende risico’s waarmee grote zorg- en technologiebedrijven worden geconfronteerd, met name degenen die uitgebreide IT-omgevingen van bedrijven beheren naast kritieke operationele systemen.