Medische technologiebedrijf Stryker werd vorige week getroffen door een cyberaanval die tienduizenden apparaten van medewerkers op afstand wist. De aanval beperkte zich tot de interne Microsoft-omgeving van het bedrijf en maakte gebruik van de wipe-functie in Microsoft Intune, zonder dat er malware werd ingezet.

Volgens een update van Stryker zijn alle medische apparaten veilig in gebruik, maar blijven elektronische bestelsystemen offline. Klanten moeten voorlopig bestellingen handmatig via salesmedewerkers plaatsen. De aanval werd opgeëist door de hacktivistische groep Handala, die vermoedelijk banden heeft met Iran. De aanvallers claimden meer dan 200.000 systemen te hebben gewist en 50 terabyte aan data te hebben gestolen, maar onderzoek wees niet uit dat er data is buitgemaakt.

Medewerkers in verschillende landen meldden dat hun beheerde apparaten tijdens de aanval werden gewist, waarbij ook persoonlijke apparaten die in het bedrijfsnetwerk waren opgenomen data verloren. De aanvallers hadden via een gecompromitteerd administratoraccount en een nieuw aangemaakt Global Administrator-account toegang gekregen tot Intune en voerden tussen 5:00 en 8:00 uur UTC op 11 maart de wipe-commando’s uit op bijna 80.000 apparaten.

Microsofts Detection and Response Team (DART) werkt samen met cybersecurityspecialisten van Palo Alto Unit 42 aan het onderzoek. Stryker benadrukt dat de aanval geen impact had op hun medische producten, die veilig blijven. De focus ligt nu op het herstellen van de interne systemen, het hervatten van verzendingen en het normaliseren van de klantbestellingen. Bestellingen die vóór de aanval zijn geplaatst, worden gehonoreerd zodra systemen zijn hersteld.