Nach der ersten Entdeckung des Eindringens am 4. Mai 2026 aktivierte West Pharmaceutical Services nach eigenen Angaben umgehend seine Notfallprotokolle. Dazu zählten das vorsorgliche Abschalten von Systemen weltweit zur Eindämmung, die Benachrichtigung der Strafverfolgungsbehörden und das Hinzuziehen externer forensischer Fachleute.
Gegenüber BleepingComputer führte ein Unternehmenssprecher aus, dass unmittelbar nach der Entdeckung des Eindringens technische und organisatorische Maßnahmen zur Eindämmung ergriffen worden seien. Dazu gehörten das vorsorgliche Abschalten und Isolieren betroffener lokaler Infrastruktur, die Einschränkung des Zugriffs auf Unternehmenssysteme sowie die Aktivierung weiterer Notfall- und Krisenprotokolle samt Einschaltung der Strafverfolgungsbehörden.
Für die Reaktion auf den Vorfall, die Eindämmung und die Wiederherstellung zog das Unternehmen die Unit 42 von Palo Alto Networks hinzu, in Abstimmung mit weiteren externen Experten und Rechtsbeiständen.
Den Angaben zufolge hat West Pharmaceutical Services seine zentralen Unternehmenssysteme, die Versand und Produktion stützen, wiederhergestellt; die Fertigung wurde teilweise wieder aufgenommen. Eine vollständige Wiederherstellung aller Systeme ist noch nicht erreicht, ein Zeitplan dafür wurde nicht genannt. Ebenso machte der Konzern keine Angaben zu den finanziellen Auswirkungen des Vorfalls.
Das Unternehmen erklärte zudem, Maßnahmen ergriffen zu haben, um das Risiko einer Verbreitung der abgezogenen Daten zu verringern, nannte aber keine Einzelheiten dazu. Zum Zeitpunkt der Berichterstattung hat sich keine Ransomware-Gruppe zu dem Angriff bekannt.