ענקית שירותי בריאות בארה"ב תשלם 65 מיליון דולר כדי ליישב תביעה ייצוגית שהגישו מטופליה, לאחר שפושעי סייבר גנבו במתקפת כופרה את המידע שלהם – כולל תמונות העירום שלהם – ופרסמו חלק מהם באינטרנט. Lehigh Valley Health Network (LVHN) מפנסילבניה, גילתה פריצת IT ב- 6 בפברואר 2023 ומאוחר יותר התברר כי מי שעומדים מאחורי מתקפת הכופרה הם קבוצת הכופרה ALPHV הידועה גם בשם BlackCat. במתקפת הכופרה נגנב מידע 134,000 מטופלים ואנשי צוות: שמות, כתובות, מספרי תעודת זהות ונתוני זהות, כמו גם תיעוד רפואי ותמונות מניתוחים. על פי התביעה שהוגשה נגד LVHN, צילמה הקבוצה הרפואית באופן שגרתי תמונות של חולי סרטן בעירום – בחלק מהמקרים ללא ידיעתם.
כשבית החולים סירב לשלם את הכופר של BlackCat כדי להבטיח שהנתונים הגנובים לא ישוחררו, פרסמו פושעי הסייבר את החומר באינטרנט. "למרות ש- LVHN טופחת לעצמה בפומבי על השכם על שעמדה איתן מול פושעי הסייבר וסירבה לשלם את דרישת הכופר שלהם, הם מתעלמים במודע ובכוונה מהקורבנות האמיתיים", נכתב בתביעה והודגש: "במקום לפעול לטובת המטופלים שלהם, שמה LVHN את השיקולים הפיננסיים שלה במקום הראשון." ב- 20 בפברואר 2023 חשפה LVHN חשפה את המתקפה וטענה שהיקפה מוגבל. ב- 4 במרץ פרסמה כנופיית ALPHV אזהרה באתר האינטרנט שלה ואיימה להפיץ את התמונות הגנובות באינטרנט אלא אם תשלם LVHN את דמי הכופר. הקבוצה הרפואית סירבה ואז העלו פושעי הסייבר מבחר מהחומרים שנגנבו לפורטל שלהם ברשת האינטרנט האפלה – כולל תצלומים עם מידע מזהה אישי.
מסמכי בית המשפט מספרים כיצד התקשרה אחת התובעות לסגן נשיא בית החולים ב- 6 במרץ, בטענה כי תמונות עירום שלה מפורסמות באינטרנט. התובעת טענה שלא היה לה מושג שבית החולים צילם אותה כשהיא נטולת בגדים במהלך הטיפול שלה בסרטן השד וגם לא שבית החולים מאחסן את התצלומים בשרתים שלו.
בעוד ש- LVHN הודיעה ללקוחות ולצוות על דלף המידע, הגבירה ALPHV את הלחץ והדליפה עוד 132 ג'יגה-בייט של חומר באינטרנט ב- 10 במרץ ואיימה לחשוף עוד מדי שבוע עד שישולם הכופר. במסמכי בית המשפט לא מצוין אם הכופר שולם אי פעם.
עורכי הדין של התובעים טענו כי בית החולים כשל בחובת הזהירות שלו להגן על המידע. בנוסף, היו פעולותיו לכאורה הפרה של חוק הניידות והאחריות של ביטוח הבריאות האמריקאי. קבוצת הבריאות, על אף שהסכימה לתנאי הפשרה, הכחישה כל עבירה.
ל- LVHN יש ניסיון במתקפות כופרה: ביולי 2022 אישרה הקבוצה הרפואית שהיא הייתה קורבן של מתקפת כופרה שהשפיעה על 75,628 חולים. נראה שלא ננקטו מספיק אמצעי זהירות כדי לעצור את דלף המידע – וזה יוצא דופן בהתחשב בעובדה שהמגזר הרפואי הוא יעד עיקרי למתקפות כופרה.
משרד עורכי הדין של התובעים טוען כי הסדר הפשרה בתביעה הייצוגית הזו הוא "ההסדר הגדול מסוגו, על בסיס מטופל, בתיק של מתקפת כופרה ודלף מידע בתחום הבריאות". מטופלים שהמידע האישי שלהם פורסם באינטרנט סווגו בארבע רמות, כשהרמה הנמוכה שבהן תקבל 50 דולר לתובע עבור גישה בלתי חוקית לרשומות הרפואיות. הרמה הגבוהה ביותר – אלו שתמונות העירום שלהם הופיעו באינטרנט – יקבלו בין 70,000 ל- 80,000 דולר, לאחר שעורכי הדין יקבלו את שכר הטרחה שלהם.