Nieuw bewijs wijst erop dat de recente cyberaanval op de Amerikaanse medtechgigant Stryker werd uitgevoerd met behulp van gecompromitteerde inloggegevens, verkregen via infostealer malware. De aanval, die op 11 maart aan het licht kwam, werd opgeëist door de Iran-gerelateerde hacker groep Handala. Deze groep, vermoedelijk een hacktivistische entiteit onder controle van Iran’s Ministerie van Inlichtingen en Veiligheid (MOIS), claimde meer dan 200.000 apparaten te hebben gewist, waardoor Stryker gedwongen was kantoren in tientallen landen te sluiten. Daarnaast werd er volgens de hackers een aanzienlijke hoeveelheid data gestolen.

Hoewel eerdere berichten suggereerden dat de hackers wiper malware gebruikten – iets waar Handala bekend om staat – meldde Stryker zelf geen bewijs te hebben gevonden van malware op hun systemen. Volgens sommige rapporten wisten de aanvallers systemen te wissen door misbruik te maken van Stryker’s Microsoft Intune-omgeving, een platform voor het beheer van desktops, mobiele apparaten en applicaties binnen de organisatie. Bleeping Computer meldde eerder deze week dat de aanvallers een Intune-beheerdersaccount hadden gecompromitteerd en een nieuw globaal admin-account hadden aangemaakt, waarmee zij de beheerde apparaten konden wissen.

Alon Gal, CTO van het threat intelligence bedrijf Hudson Rock, ontdekte bewijs dat de gestolen inloggegevens mogelijk via infostealer malware zijn verkregen. Analyse van logs van dergelijke malware toonde aan dat credentials van Stryker-administrators waren buitgemaakt, naast tientallen andere Microsoft- en mobile device management (MDM)-credentials die aan het medtechbedrijf verbonden zijn. Gal verklaarde op LinkedIn dat Handala waarschijnlijk niet erg geavanceerd is en vooral gebruikmaakte van infostealer logs voor de aanval. Veel van de credentials zouden maanden tot jaren oud zijn, wat Stryker voldoende tijd had gegeven om deze te resetten en een inbraak te voorkomen.

Stryker gaf aan dat het incident zich beperkte tot de Windows-omgeving, maar dat het wel verstoringen veroorzaakte in orderverwerking, productie en verzending. In een update van 15 maart meldde het bedrijf dat het getroffen systemen aan het herstellen is, met prioriteit voor systemen die klanten, bestellingen en verzending ondersteunen. Stryker benadrukte dat al haar producten veilig zijn in gebruik en dat de aanwezigheid van verkoopmedewerkers in ziekenhuizen geen risico vormt. De Amerikaanse cybersecurityinstanties CISA en FBI zijn betrokken bij het onderzoek en hebben contact met Stryker-executives.

Handala is sinds het begin van het conflict in de regio zeer actief, vooral gericht op Israël, en claimt diverse organisaties gehackt te hebben, al zijn deze claims vaak moeilijk te verifiëren. Forbes meldde recent dat twee leiders van Iraanse cyberoperaties zijn omgekomen bij luchtaanvallen, waaronder Mohammad Mehdi Farhadi Ramin, die in 2020 door de VS werd aangeklaagd voor staatsgesponsorde hacking, en Yahya Hosseiny Panjaki, die toezicht hield op de MOIS-eenheid die groepen zoals Handala controleert.