Medtronic hat einen Angriff auf seine Systeme eingeräumt, ohne den Diebstahl von Daten bereits zu bestätigen. Das Unternehmen erklärte, es arbeite daran, etwaige persönliche Informationen zu identifizieren, auf die zugegriffen worden sein könnte.
Zur Architektur seiner IT betonte der Konzern, dass die Netzwerke für die Unternehmens-IT, die Produkte sowie die Fertigung und den Vertrieb voneinander getrennt seien. Auch die Netzwerke der Krankenhauskunden blieben von den IT-Netzen Medtronics getrennt; sie würden von den IT-Teams der Kunden gesichert und verwaltet.
Die Cybercrime-Gruppe ShinyHunters listete Medtronic am 17. April auf ihrer Leak-Website und gab an, mehr als 9 Millionen Datensätze mit persönlichen Informationen sowie mehrere Terabyte an Unternehmensdaten kompromittiert zu haben. Die Angreifer setzten dem Unternehmen eine Frist bis zum 21. April, um ein Lösegeld zu zahlen, und drohten andernfalls mit der Veröffentlichung der Daten.
Mittlerweile wurde Medtronic von der Website der Gruppe entfernt. Das deutet darauf hin, dass der Konzern möglicherweise ein Lösegeld gezahlt hat. Eine Bestätigung dazu liegt nicht vor; SecurityWeek hat Medtronic um eine Stellungnahme gebeten.
Die auf Diabetesversorgung spezialisierte Medtronic-Tochter MiniMed reichte einen Bericht bei der US-Börsenaufsicht SEC ein und erklärte darin, dass ihre eigenen IT-Systeme von dem Vorfall nicht betroffen seien.