11 marca 2026 roku Stryker — jeden z największych na świecie producentów sprzętu i implantów medycznych — padł ofiarą niszczycielskiego cyberataku. Odpowiedzialna za niego proirańska grupa hakerska Handala ogłosiła, że wymazała dane z ponad 200 000 urządzeń firmy w 79 krajach, paraliżując logistykę, produkcję i zamówienia na całym świecie.
Kim są Handala i dlaczego zaatakowali?
Handala to powiązana z Iranem grupa hakerska, która wcześniej przypisywała sobie m.in. ataki na izraelską infrastrukturę oraz incydenty w Europie. Tym razem jako motyw wskazała odwet za irański nalot na szkołę podstawową — co, niezależnie od politycznego kontekstu, potwierdza coraz wyraźniejszą tendencję: cyberataki stają się narzędziem geopolitycznych rozgrywek.
Co szczególnie niepokojące, hakerzy nie użyli tradycyjnego ransomware. Zamiast zaszyfrować dane i żądać okupu, skupili się na destrukcji — trwałym wymazaniu danych z serwerów, komputerów i urządzeń mobilnych.
Jak działał atak — Microsoft Intune jako broń
Techniczna strona incydentu jest wyjątkowo interesująca. Atakujący nie musieli instalować złośliwego oprogramowania na każdym z urządzeń z osobna. Zamiast tego przejęli kontrolę nad platformą Microsoft Intune — narzędziem do zdalnego zarządzania urządzeniami, którego Stryker używał do administrowania flotą sprzętu w całej firmie.
Dysponując dostępem do systemu zarządzania, mogli jednym poleceniem wydać rozkaz wymazania danych (tzw. factory reset lub wipe) na tysiącach urządzeń jednocześnie. To przykład tzw. ataku na łańcuch narzędzi zarządzania — przejęcie centralnego systemu administracyjnego daje efekt wykładniczo większy niż przejęcie pojedynczych stacji.
Stryker potwierdził, że incydent dotyczył środowiska Microsoft firmy i że hakerzy uzyskali do niego dostęp przy wykorzystaniu złośliwego oprogramowania.
Realne skutki dla pacjentów
Stryker produkuje m.in. implanty ortopedyczne, roboty chirurgiczne i urządzenia ratujące życie. Zakłócenia w logistyce i produkcji przełożyły się na realne problemy — część planowanych operacji na tydzień 16 marca musiała zostać przełożona z powodu opóźnień w dostawach.
Firma zapewniła, że bezpieczeństwo i działanie jej produktów nie zostało naruszone. Do końca marca systemy były stopniowo przywracane, a linie produkcyjne wznowiły pracę.
Co możesz z tego wyciągnąć?
Ten atak pokazuje, że narzędzia do zdalnego zarządzania urządzeniami (MDM, jak Microsoft Intune) to jednocześnie potężna broń — jeśli wpadną w niepowołane ręce. Kilka wniosków praktycznych:
- Chroń konta administracyjne — dostęp do systemów MDM powinien być zabezpieczony uwierzytelnianiem wieloskładnikowym (MFA) i ograniczony do minimalnej liczby osób.
- Monitoruj aktywność w systemach zarządzania — anomalie, takie jak masowe polecenia wipe, powinny wyzwalać natychmiastowe alerty.
- Twórz kopie zapasowe offline — dane wymazane przez Intune można było odzyskać tylko wtedy, gdy istniały kopie poza zasięgiem skompromitowanego systemu.
- Segmentuj sieć — ograniczenie zasięgu, jaki może mieć przejęty system zarządzania, minimalizuje skalę potencjalnych strat.
Podsumowanie
Atak na Stryker to kolejny dowód, że cyberwojny toczą się już nie tylko między państwami, ale dotykają globalnych firm z sektora zdrowia, energetyki i infrastruktury. Hakerzy coraz częściej celują w narzędzia zarządzania IT, by za jednym zamachem sparaliżować tysiące urządzeń. Regularne audyty bezpieczeństwa, silna ochrona kont uprzywilejowanych i kopie zapasowe offline to dziś absolutna podstawa — niezależnie od wielkości organizacji.