Handala beziffert das Ausmaß des Angriffs selbst auf über 200.000 gelöschte Systeme, Server und Mobilgeräte sowie 50 Terabyte extrahierter kritischer Daten. Die Gruppe erklärte, Strykers Büros in 79 Ländern seien zur Schließung gezwungen worden, und sprach von einem “beispiellosen Schlag”. Zusätzlich versahen die Angreifer die Entra-Anmeldeseite des Unternehmens mit einem Handala-Logo.

Diese Darstellung deckt sich mit Berichten von Personen, die sich als Stryker-Beschäftigte aus den USA, Irland, Costa Rica und Australien ausgeben. Sie schilderten, dass ihre über das Mobile-Device-Management verwalteten Windows- und Mobilgeräte mitten in der Nacht aus der Ferne gelöscht wurden.

Ein Mitarbeiter berichtete BleepingComputer, der Vorfall habe am frühen Morgen begonnen, als die im Mobile-Device-Management registrierten Geräte aus der Ferne gelöscht wurden. Auch Kollegen, die private Telefone für den Arbeitszugriff eingebunden hatten, hätten nach einem Zurücksetzen ihrer Geräte Daten verloren. Die Belegschaft wurde angewiesen, die unternehmenseigene Verwaltung und Anwendungen von ihren privaten Geräten zu entfernen, darunter das Intune Company Portal, Teams und VPN-Clients.

Stryker bestätigte den Ausfall gegenüber Beschäftigten. “Wir erleben eine schwere, globale Störung, die alle Stryker-Laptops und -Systeme betrifft, die mit unserem Netzwerk verbunden sind”, hieß es laut lokalen Medien in einer Mitteilung an Mitarbeiter im irischen Cork. In einer Nachricht an Beschäftigte in Asien erklärte das Unternehmen, die Ursache sei noch nicht identifiziert; man arbeite aktiv mit Microsoft zusammen und behandle den Vorfall als kritisches, unternehmensweites Ereignis.

Handala, auch bekannt als Handala Hack Team, Hatef oder Hamsa, trat erstmals im Dezember 2023 in Erscheinung. Die Gruppe wird mit dem iranischen Geheimdienstministerium (MOIS) in Verbindung gebracht und greift israelische Organisationen mit zerstörerischer Malware an, die Windows- und Linux-Geräte löschen soll. Bekannt ist sie zudem dafür, sensible Daten aus kompromittierten Systemen zu stehlen und auf eigenen Leak-Portalen zu veröffentlichen.

BleepingComputer kontaktierte einen Stryker-Sprecher mit Fragen zu dem Vorfall, erhielt jedoch zunächst keine Antwort.