Iranskstödda hackare utför omfattande dataförstörande attack mot Stryker

En hacktivistgrupp med kopplingar till Irans underrättelsetjänster har tagit på sig ansvaret för en omfattande dataförstörande attack mot Stryker, ett globalt medicinteknikföretag med huvudkontor i Michigan, USA.

Enligt rapporter från Irland, där Stryker har sitt största kontor utanför USA, har företaget skickat hem över 5 000 anställda. Samtidigt uppger ett telefonsvar vid Strykers huvudkontor i Michigan att man för närvarande upplever en akut byggnadsnödläge.

Stryker, noterat på NYSE under tickern SYK, tillverkar medicinsk och kirurgisk utrustning och rapporterade en global omsättning på 25 miljarder dollar förra året. Gruppen, som kallar sig Handala (även känd som Handala Hack Team), hävdar i ett uttalande på Telegram att de har raderat data från över 200 000 system, servrar och mobila enheter i 79 länder där Stryker har verksamhet.

Uttalandet från Handala lyder: "All insamlad data är nu i händerna på de fria människorna i världen, redo att användas för den sanna utvecklingen av mänskligheten och för att exponera orättvisor och korruption."

Gruppen motiverar attacken som en vedergällning för en amerikansk missilattack den 28 februari som träffade en iransk skola och dödade minst 175 personer, främst barn. The New York Times rapporterar idag att en pågående militärutredning har fastställt att USA stod bakom attacken.

Handala är en av flera hackargrupper som nyligen har granskats av säkerhetsföretaget Palo Alto Networks, som kopplar gruppen till Irans underrättelseministerium (MOIS). Enligt Palo Alto Networks dök Handala upp i slutet av 2023 och bedöms vara en av flera online-personas som används av Void Manticore, en aktör kopplad till MOIS.

Stryker uppger att man har 56 000 anställda i 61 länder. En försök att nå företagets medielinje på onsdagsmorgonen ledde till ett telefonsvar som löd: "Vi upplever för närvarande en akut byggnadsnödläge. Försök igen senare."

Enligt Irish Examiner kommunicerar Strykers personal i Irland numera via WhatsApp för uppdateringar om när de kan återvända till arbetet. En anonym källa uppgav att allt som är anslutet till nätverket är nere och att "alla som hade Microsoft Outlook på sina privata telefoner fick sina enheter raderade."

Enligt rapporten har flera källor bekräftat att systemen vid huvudkontoret i Cork har stängts ner och att Strykers enheter har raderats. "Inloggningssidorna på dessa enheter har förvanskats med Handalas logotyp," uppger tidningen.

Dataförstörande attacker innebär vanligtvis skadlig programvara som skriver över befintlig data på infekterade enheter. En anonym källa med insyn i attacken uppgav dock till KrebsOnSecurity att förövarna i detta fall tycks ha använt Microsofts tjänst Microsoft Intune för att utfärda ett remote wipe-kommando mot alla anslutna enheter. Intune är en molnbaserad tjänst för enhetshantering.