El matí de l’11 de març de 2026, empleats d’oficines de Stryker a tot el món van encendre els seus ordinadors i els van trobar esborrats.

lalgorisme@infosec.exchange

El matí de l’11 de març de 2026, empleats d’oficines de Stryker a tot el món van encendre els seus ordinadors i els van trobar esborrats. Les pantalles d’inici de sessió havien estat substituïdes pel logotip de Handala: un nen descalç amb una fona.
Qui és Stryker? Una empresa Fortune 500 amb 56.000 empleats, 25.000 milions de dòlars de facturació anual i presència en més de 60 països, fabricant de dispositius mèdics i quirúrgics dels quals depenen hospitals de tot el món.
Com van entrar? Els atacants van obtenir accés a la consola d’administració de Microsoft Intune de Stryker i van emetre ordres legítimes d’esborrat remot, la mateixa funcionalitat que els administradors d’IT utilitzen quan es perd un dispositiu corporatiu.
L’accés inicial es creu que s’havia establert mesos abans de la fase destructiva, amb accés a la xarxa que datava de mesos enrere. El logotip de Handala que va aparèixer a les pantalles confirmava que els atacants tenien el control molt abans de decidir usar-lo. Era un atac planificat i pacient.
L’impacte humà va ser devastador: Molts empleats tenien els seus telèfons personals inscrits al programa BYOD (Bring-Your-Own-Device) de Stryker, per la qual cosa aquests també van ser gestionats pels sistemes IT de l’empresa. Aquells telèfons van ser restablerts de fàbrica, esborrant no només les aplicacions corporatives sinó tot: fotos, eSIMs, i les aplicacions d’autenticació que els empleats feien servir per a la banca personal.
Handala va reivindicar l’atac afirmant que les oficines de Stryker a 79 països s’havien vist forçades a tancar, que s’havien esborrat dades de més de 200.000 sistemes, servidors i dispositius mòbils, i que s’havien exfiltrat 50 terabytes de dades crítiques.
El grup va afirmar que l’atac era en represàlia per un atac amb míssils del 28 de febrer que va colpejar una escola iraniana i va matar almenys 175 persones, la majoria nens. El grup va anomenar Stryker una “corporació d’arrels sionistes”, en referència a l’adquisició el 2019 de l’empresa israeliana OrthoSpace.
El Departament de Justícia nord-americà va anunciar la confiscació del lloc web de Handala, juntament amb una còpia de seguretat i dos altres llocs que presumien de campanyes cibernètiques iranianes, qualificant-les d’“operacions psicològiques” del MOIS iranià.
Handala va reaparèixer amb un nou domini hores després de la confiscació, demostrant la resiliència operativa dels grups patrocinats per estats nació davant les accions legals

Iran-Backed Hackers Claim Wiper Attack on Medtech Firm Stryker – Krebs on Security

(krebsonsecurity.com)

Iran-Linked Hacktivist Group Hits Stryker in Destructive Wiper Attack

Iran-linked hackers exploited vulnerabilities in enterprise device management Microsoft Intune to cause a massive global shutdown at Stryker Corporation.

(www.secureworld.io)

CISA urges companies to secure Microsoft Intune systems after hackers mass-wipe Stryker devices | TechCrunch

The U.S. cybersecurity agency urged companies to prevent access to systems used for remotely managing their fleets of employee devices after hackers broke into a major U.S. medical tech giant and remotely wiped thousands of phones and computers.

TechCrunch (techcrunch.com)