Nach Informationen einer mit dem Angriff vertrauten Quelle gegenüber BleepingComputer nutzte der Angreifer den Lösch-Befehl in Intune, dem cloudbasierten Endpunktverwaltungsdienst von Microsoft, um die Daten von nahezu 80.000 Geräten zu entfernen. Die Löschungen erfolgten zwischen 5:00 und 8:00 Uhr UTC am 11. März.

Möglich wurde die Aktion, nachdem der Angreifer ein Administratorkonto kompromittiert und ein neues Konto mit globalen Administratorrechten angelegt hatte. Die Untersuchung des Vorfalls führt das Microsoft Detection and Response Team (DART) gemeinsam mit Sicherheitsexperten von Palo Alto Unit 42 durch.

Stryker betont in seiner Aktualisierung, dass der Angriff keine Produkte betroffen habe – weder vernetzte noch andere – und ausschließlich auf die interne Microsoft-Unternehmensumgebung begrenzt geblieben sei. „Alle Stryker-Produkte unseres weltweiten Portfolios, einschließlich vernetzter, digitaler und lebensrettender Technologien, bleiben sicher in der Anwendung", erklärt das Unternehmen.

Die Wiederherstellung läuft den Angaben zufolge bereits. Im Vordergrund steht, den Versand und die Abwicklung von Transaktionen wieder in Gang zu bringen. Kunden werden gebeten, den gewohnten Kontakt zu den Mitarbeitern zu halten, während die Infrastruktur schrittweise zurückkehrt.

Bestellungen, die vor dem Angriff aufgegeben wurden, will Stryker im Zuge der Systemwiederherstellung erfüllen. Aufträge, die während der Störung eingingen, sollen bearbeitet werden, sobald die Systeme wieder online sind und der Nachschub normal fließt. Mit Blick auf mögliche betriebliche Auswirkungen arbeitet das Unternehmen zudem mit seinen weltweiten Produktionsstandorten zusammen.

Vorrangiges Ziel ist es derzeit, das Lieferkettensystem wiederherzustellen sowie Kundenbestellungen und Versand wieder aufzunehmen. „Unsere zentralen Transaktionssysteme befinden sich bereits auf einem klaren Weg zur vollständigen Wiederherstellung", teilt Stryker mit.