Stryker, een bekende fabrikant van medische apparatuur uit de Verenigde Staten, is het slachtoffer geworden van een grootschalige cyberaanval. Duizenden medewerkers konden daardoor niet meer inloggen en aan de slag. Een groep die zich Handala noemt heeft de aanval opgeëist en claimt 200.000 systemen te hebben gewist en vijftig terabyte aan data buit te hebben gemaakt.
Update 03-04-2026: Stryker heeft laten weten dat het productienetwerk sinds deze week weer volledig operationeel is. Dankzij het herstel van de commerciële en logistieke systemen wordt de productie weer opgeschaald naar de maximale capaciteit. De algehele levering van producten is momenteel stabiel. Voor de meeste productlijnen is de beschikbaarheid goed, waardoor we de patiëntenzorg onverminderd kunnen blijven ondersteunen. Achter de schermen wordt er nog steeds hard gewerkt aan het lopende onderzoek, waarover nog geen verdere details naar buiten zijn gebracht.
Update 17-03-2025: De recente cyberaanval Stryker werd uitgevoerd via een gecompromitteerd administrator-account. Daardoor konden kwaadwillenden in de Microsoft Intune-omgeving van het bedrijf komen. Zonder gebruik te maken van malware gaven de aanvallers een ‘wipe’-commando waarmee ongeveer 80.000 apparaten, waaronder servers en mobiele telefoons van werknemers, op afstand werden gewist. Hoewel de aanvallers beweerden 50 terabyte aan data te hebben gestolen, hebben onderzoekers daar tot dusver geen bewijs voor gevonden.
Stryker benadrukt dat de aanval beperkt bleef tot de interne zakelijke omgeving en dat alle medische producten veilig blijven voor gebruik. Hoewel de elektronische bestelsystemen tijdelijk offline zijn gegaan, is het herstelproces in volle gang en worden klanten verzocht orders handmatig via vertegenwoordigers te plaatsen. De focus ligt momenteel op het volledig herstellen van de toeleveringsketen en de transactionele systemen om de normale bedrijfsvoering zo snel mogelijk te hervatten.
Origineel artikel 12-03-2025 13:14: Dat meldden bronnen tegenover de Irish Examiner. Duizenden systemen op het Europese hoofdkantoor in het Ierse Cork, maar ook laptops en telefoons van medewerkers, zijn gewist. Op social media deelden werknemers berichten over het moeten stilleggen van hun werkzaamheden.
Het bedrijf erkent de aanval in een verklaring: “Stryker kampt met een wereldwijde netwerkstoring door een cyberaanval. Er zijn momenteel geen aanwijzingen gevonden voor ransomware of malware, en de situatie lijkt onder controle. Terwijl het onderzoek naar de impact loopt, zijn er maatregelen genomen om de dienstverlening aan klanten en partners voort te zetten.”
De aanval had ook gevolgen voor bedrijfsactiviteiten in Azië en de Verenigde Staten. Stryker produceert onder andere apparatuur voor operaties in ziekenhuizen en is actief in 61 landen en telt wereldwijd 56.000 medewerkers. De omzet bedroeg vorig jaar meer dan 25 miljard dollar. Het bedrijf werkt samen met Microsoft aan het herstel van de systemen en heeft continuïteitsmaatregelen in gang gezet.
Hoe de aanval werkte
Rafe Pilling van antivirusbedrijf Sophos vermoedt dat de aanvallers toegang hebben verkregen tot de Microsoft Intune management console. Via die console zijn zakelijke apparaten op afstand te beheren en te wissen. Beveiligingsonderzoeker Kevin Beaumont wijst daarnaast op mogelijke toegang tot de Active Directory van Stryker, waarna alle apparaten op afstand zijn gewist.
De aanval is opgeëist door een groep die zich Handala noemt. Dat is een hackergroep die zichzelf als pro-Palestijns omschrijft en is verbonden met het Iraanse regime. Medewerkers meldden dat hun Microsoft Entra-inlogpagina’s waren voorzien van het logo van het hackerscollectief, dat zakelijke apps verdwenen waren en interne diensten offline gingen. Niet alleen in Ierland konden medewerkers niet meer aan de slag, ook kantoren in de Verenigde Staten en Australië werden getroffen.
Belgische ziekenhuizen schrappen operaties door cyberaanval
Wie is Handala?
De groep zelf omschrijft de aanval als vergelding voor een Amerikaanse militaire aanval op een school in de Iraanse stad Minab en voor cyberaanvallen op bondgenoten van Iran. Ze noemen Stryker “Zionistisch” vanwege de activiteiten van het bedrijf in Israël. Handala is actief sinds 2023 en wordt door onderzoekers ook gelinkt aan de Iraanse inlichtingendiensten. De tactieken die worden gebruikt door de groep omvatten datadiefstal, wissen van systemen en psychologische operaties gericht op kritieke infrastructuur, gezondheidszorg en energiebedrijven.