Stryker erklärte in seiner jüngsten Stellungnahme, der Angriff habe eine weltweite Störung der Microsoft-Umgebung des Konzerns ausgelöst, sei aber auf diese beschränkt geblieben. „Dieser Vorfall hat zu Störungen bei der Auftragsabwicklung, der Fertigung und dem Versand geführt“, teilte das Unternehmen mit. Man arbeite mit Nachdruck an der Wiederherstellung der Systeme und sei vor allem darauf bedacht, dass Kunden weiterhin eine reibungslose Patientenversorgung gewährleisten könnten.

Nach Medienberichten aus Irland, dem größten Standort Strykers außerhalb der USA, wurden Support- und Verwaltungspersonal sowie Ingenieure nach Hause geschickt; sie nutzen WhatsApp, um zu erfahren, wann sie die Arbeit wieder aufnehmen können. Ob die Angreifer direkt OT-Systeme ins Visier nahmen oder die Produktionsstörungen Folge einer kompromittierten IT sind, ist offen.

Die Gruppe Handala beanspruchte den Angriff für sich und behauptet, mehr als 200.000 Geräte – darunter Telefone – gelöscht und 50 Terabyte Daten aus den Systemen des Konzerns gestohlen zu haben. Während frühe Berichte von Wiper-Malware ausgingen, deuten neue Hinweise auf Living-off-the-Land-Techniken hin.

Laut unbestätigten Angaben von Personen, die Insiderwissen zum Vorfall für sich reklamieren, löschten die Angreifer Systeme über Microsoft Intune, einen cloudbasierten Dienst zur einheitlichen Geräteverwaltung für Windows, macOS, iOS, Android und Linux. Auch der investigative Cybersicherheits-Blogger Brian Krebs erfuhr von Quellen, dass Handala Intune missbraucht habe, um Störungen zu verursachen. Stryker erklärte, bei seiner Untersuchung sei weder Malware noch Ransomware festgestellt worden.

Seit dem Ausbruch des Konflikts zwischen den USA, Israel und Iran hat Handala die für sich beanspruchten Aktivitäten deutlich ausgeweitet und konzentriert sich auf Ziele, die als mit Israel und dessen Verbündeten verbunden gelten. Handala stellt sich selbst als pro-palästinensische Hacktivisten-Gruppe mit antiisraelischer Ausrichtung dar. Cybersicherheitsforscher betrachten die Gruppe jedoch überwiegend als Tarnung für Void Manticore, einen staatlich gestützten iranischen Akteur, der mutmaßlich unter Leitung des iranischen Geheimdienstministeriums (MOIS) agiert.

Die Gruppe ist vor allem für Phishing, den Diebstahl sensibler Daten, Erpressungsdrohungen und destruktive Angriffe bekannt, bei denen häufig eigens entwickelte Wiper-Malware zum Löschen von Dateien und Systemen eingesetzt wird. Seit Beginn des Konflikts soll Handala zahlreiche Angriffe gegen Israel verübt haben, darunter das Löschen militärischer Wetterserver, das Kapern von Überwachungskamera-Feeds, das Abziehen und Löschen von Unternehmensdaten, die Veröffentlichung von Details zu Geheimdienstmitarbeitern sowie die Kompromittierung eines Öl- und Gasexplorationsunternehmens. Die Gruppe teilt regelmäßig angebliche Belege ihrer Taten über Telegram und X, viele Behauptungen sind jedoch unabhängig nicht bestätigt und schwer zu verifizieren.