Der Sicherheitsvorfall beim Cookeville Regional Medical Center in Tennessee wurde am 14. Juli 2025 bemerkt, als ein Einbruch in das Netzwerk der Klinik festgestellt wurde. Die anschließende Untersuchung zeigte, dass Angreifer bereits in den Tagen vor der Entdeckung bestimmte Dateien entwendet hatten.

Nach Angaben des Krankenhauses können die betroffenen Daten je nach Person Name, Geburtsdatum, Anschrift, Sozialversicherungsnummer, Führerscheinnummer, Bankkontodaten, Informationen zur medizinischen Behandlung sowie Angaben zur Krankenversicherung umfassen. Gegenüber der Generalstaatsanwaltschaft von Maine bezifferte CRMC die Zahl der Betroffenen in dieser Woche auf mehr als 337.000 Personen.

Hinter dem Angriff steht die Ransomware-Gruppe Rhysida, die die Gesundheitseinrichtung im August 2025 auf ihrer Leak-Website führte. Die Angreifer wollten die erbeuteten Daten zunächst für 10 Bitcoin verkaufen — damals umgerechnet rund eine Million Dollar.

Da sich nach eigener Darstellung der Gruppe kein Käufer fand, stellten die Täter den gestohlenen Datenbestand offenbar frei zum Download bereit. Rhysida gibt an, mehr als 370.000 Dateien mit einem Gesamtumfang von 500 GB entwendet zu haben.

Die Klinik erklärte, ihr lägen „keine Hinweise darauf vor, dass infolge dieses Vorfalls Informationen missbraucht worden sein könnten". Das Risiko eines Missbrauchs ist allerdings erheblich, wenn Daten von einer Ransomware-Gruppe gestohlen und im Internet veröffentlicht werden. Dienste zum Schutz vor Identitätsdiebstahl werden nur jenen Personen angeboten, deren Sozialversicherungs- oder Führerscheinnummern kompromittiert wurden.