הארגון הממשלתי המנהל את מערכת הבריאות של הפיליפינים נאבק להתאושש ממתקפת כופרה אשר אילצה אותו להשבית מספר אתרים ופורטלים. הארגון מספק תוכנית ביטוח בריאות לאומית ל- 114 מיליון אזרחי המדינה. גורמים בתאגיד ביטוח הבריאות הפיליפיני (PhilHealth) אמרו כי זיהו אירוע אבטחת מידע והחלו מיד בחקירת המצב בסיוע מספר סוכנויות ממשלתיות נוספות: "בזמן שהחקירה מתבצעת, תושבתנה זמנית המערכות המושפעות כדי לאבטח את מערכות המחשוב שלנו. אנו פונים להבנת הציבור", נמסר מהארגון. בעדכון נוסף אמר נשיא ומנכ"ל PhilHealth – עמנואל לדסמה, שהגישה לפורטלים של חברי מוסד הבריאות (HCI) ולתביעות אלקטרוניות הושבתה או נותקה מיד כחלק מאמצעי אבטחת המידע המיושמים על ידי PhilHealth: "המערכות המושפעות ישוחזרו במועד המהיר ביותר האפשרי לאחר השלמת התצורה הנדרשת וחיזוק אמצעי אבטחת המידע הקיימים", הסבירו בארגון וטענו כי הנהלת PhilHealth מבטיחה לציבור שהתקרית נמצאת בשליטה ושמידע אישי ומידע רפואי לא נפגעו או דלפו.
המחלקה לטכנולוגיות מידע ותקשורת (DICT) ומספר רשויות אכיפת חוק עורכות חקירה משפטית על המצב. יחד עם זאת, בזמן שהמערכות מושבתות צריכים חברי הארגון לספק צילום של כרטיס זיהוי PhilHealth (PIC), או רשומת נתונים שלהם, או כל מסמכים תומכים מקובלים. תשלומים עבור שירותים חייבים להתבצע ללא רישום ולא ניתן לבצע אותם באינטרנט. מכוני הבריאות ימשיכו לנכות את הטבות PhilHealth ויתכננו הסדרים זמניים עם חולים העומדים לשחרור כדי שינצלו את ההטבות שלהם. כמו כן, יוסיף הארגון 60 ימים לתקופת ההגשה של תביעות המוגשות בין יוני לספטמבר. מעסיקים רשאים להגיש את הדו"חות שלהם לאחר ששוחזרה מערכת ההחזרים האלקטרוניים. בינתיים ממשיכה PhilHealth בפעילותה ומעבדת עסקאות שניתן לבצע באופן ידני בזמן שהקונפיגורציות נמשכות.
מתקפת הכופרה בוצעה על ידי קבוצת הכופרה Medusa, אשר הוסיפה את הארגון לאתר הדלפת המידע שלה. קבוצת הכופרה הקצתה 10 ימים ל- PhilHealth כדי לשלם את דמי הכופר, כולל 100,000 דולר להארכת המועד של תוכנת הכופרה ועוד 300,000 דולר למחיקת כל הנתונים הגנובים. קבוצת הפשיעה לא ציינה אילו נתונים נגנבו.
בשנה שעברה הזהירה הסוכנות לאבטחת סייבר ותשתיות (CISA) כי Medusa פועלת כמודל של Ransomware-as-a-Service (RaaS) ובדרך כלל מעניקה לשותפים 60% מהכופר תוך שמירה על השאר. "נצפו לאחרונה במאי 2022, מסתמכת קבוצת הכופרה MedusaLocker בעיקר על נקודות תורפה בפרוטוקול שולחן עבודה מרוחק (RDP) כדי לגשת לרשתות המחשוב של קורבנות", כתבה CISA במזכר משותף עם משרד האוצר האמריקני ורשות אכיפת הפשעים הפיננסיים בשנה שעברה. כמו כן, "מצפינים פושעי הסייבר את המידע של הקורבן ומשאירים דרישת כופר עם הוראות תקשורת בכל תיקיה המכילה קובץ מוצפן".
Medusa תקפה עוד ארגונים ממשלתיים, תקפה את מחוז בתי הספר הציבוריים של מיניאפוליס, חברה איטלקית המספקת מי שתייה לכמעט חצי מיליון בני אדם, את העיירה הצרפתית Sartrouville ואת חברת התקשורת הממשלתית של טונגה. בראיון ל- CNN הפיליפינים, אמר תת-מזכיר DICT (המחלקה לטכנולוגיות מידע ותקשורת) – ג'פרי איאן די, כי Medusa "היא כעת איום פעיל לא רק על הפיליפינים אלא גם ברחבי העולם". הוא הוסיף כי מערכת הבריאות בפיליפינים פועלת עם שותפים בינלאומיים כדי להתאושש ממתקפת הכופרה. קבוצת הכופרה נוכחת במערכות המחשוב שלהם מאז יוני, לפי ניתוח ראשוני. הוא הסביר שכרגע, החשש העיקרי הוא שנתוני עובדים נגנבו במהלך מתקפת הכופרה.
