Bell Ambulance betreibt Stationen in Milwaukee, Wauwatosa, Waukesha, Racine, Mount Pleasant, Kenosha und weiteren Städten in Wisconsin. Mit mehr als 750 Beschäftigten wickelt das Unternehmen jährlich rund 140.000 Rettungseinsätze ab.

Nach den an die Opfer verschickten Schreiben bemerkte Bell Ambulance den Angriff am 13. Februar 2025 und beauftragte Sicherheitsfachleute mit der Wiederherstellung. Die Benachrichtigung erster Betroffener lief im April 2025 an; im Laufe des Herbstes wurden weitere Geschädigte identifiziert. Gestohlen wurden den Angaben zufolge Sozialversicherungs- und Führerscheinnummern, Finanzkonten sowie medizinische Daten und Angaben zur Krankenversicherung.

Zu dem Angriff bekannte sich seinerzeit die Ransomware-Gruppe Medusa. Sie forderte ein Lösegeld von 400.000 US-Dollar im Austausch für die erbeuteten 219 Gigabyte an Daten.

Einen Monat nach dem Vorfall bei Bell Ambulance veröffentlichten das FBI und mehrere US-Strafverfolgungsbehörden eine dringende Warnung vor Angriffen der Gruppe auf Betreiber kritischer Infrastruktur in den USA. Ins Visier geraten waren demnach Behörden und Gesundheitseinrichtungen in Minnesota, Illinois und Texas sowie die Rennsportliga NASCAR.

Laut der FBI-Warnung aus dem Jahr 2025 trat die nach dem Modell Ransomware-as-a-Service arbeitende Gruppe im Juni 2021 in Erscheinung und ist für mehr als 300 Angriffe auf Organisationen kritischer Infrastruktur verantwortlich, darunter Medizinunternehmen und Fertigungsbetriebe.

Das FBI warnte zudem vor einem Fall dreifacher Erpressung: Nach einer Untersuchung zahlte ein Opfer das Lösegeld an ein mutmaßliches Mitglied von Medusa, woraufhin ein weiterer Akteur der Gruppe behauptete, die Zahlung sei gestohlen worden, und dieselbe Summe für den „echten Entschlüsseler" verlangte.