במהלך חקירת מתקפת סייבר על מספר שרתים במכון למדעי הרפואה (AIIMS) בעיר דלהי שבהודו, מצא צוות החוקרים ההודי (CERT-In – סוכנות אבטחת הסייבר המובילה במדינה) כי לא יושמו כל אמצעים על ידי סגל המחשבים של AIIMS לאבטחת הרשת, לא הוגדרה מדיניות חומת אש ברשת המחשוב של המכון וכי רוב המתגים אינם מנוהלים כראוי. משטרת דלהי פתחה בחקירה לפי סעיף הצבת אדם בחשש לפציעה כדי לבצע סחיטה, לאחר שקיבלה תלונה מעוזר קצין אבטחה ב- AIIMS.
מגיש התלונה סיפר למשטרה בתלונתו כי קיבל מידע מד"ר פוג'ה גופטה – פרופסור האחראי על המחשוב ב- AIIMS, אודות מתקפת כופרה על שרתי בית החולים המקוון של המוסד הראשי ב- 23 בנובמבר. לאחר שני מיילים מוצפנים הוצגה ההודעה: "מה קרה, הקבצים שלך מוצפנים, כל הקבצים מוגנים בהצפנה חזקה עם RSA-2048. מה המחיר לתיקון? המחיר תלוי כמה מהר אתה יכול לשלם לנו. לאחר קבלת כסף, אנו נשלח תוכנה ומפתחות פרטיים למחלקת ה- IT שלך. כרגע אל תנסה לפענח את הנתונים שלך באמצעות תוכנת צד שלישי, הדבר עלול לגרום לאובדן נתונים קבוע. התוכנה שלנו יכולה לתקן את כל הקבצים בדקות ספורות וכל השרתים יעבדו בצורה מושלמת כמו קודם. פענוח חינם כערובה: אתה יכול לשלוח לנו עד שלושה קבצים אותם נפענח בחינם לפני התשלום."
כל השרתים הנגועים נותקו על ידי צוות של מרכז המידע הלאומי מרשת המחשוב ומהאינטרנט כדי למנוע התפשטות הכופרה לשירותים אחרים. לדברי מקור מוסמך: הכשלים באבטחת המידע במכון השפיעו במיוחד על יישום בית החולים המקוון הפועל מאז 2011 והפסיק את התפקוד המקוון של שירותי חירום ושירותי טיפול בחולים אחרים בשטח AIIMS.
דובר DCP (יחידת פשעי סייבר) פראשנט פריה גאוטם מסר בתגובה: "הממצאים הפורנזיים בשרתים המושפעים נשלחו למעבדה לניתוח. מינהל AIIMS וסוכנויות אחרות נמצאים בתהליך של שחזור השירות ולא נמסרה דרישת כופר".