Laut Stryker beschränkte sich der Cyberangriff auf die interne Microsoft-Umgebung des Unternehmens und betraf dadurch keines der Produkte – weder vernetzt noch anderweitig. Das Unternehmen erklärte, es habe ein zuvor festgelegtes Verfahren durchlaufen, um zu bestätigen, dass die vernetzten Produkte von dem Vorfall nicht betroffen und weiterhin sicher nutzbar seien.

Konkret nannte Stryker seine vernetzten Betten und Tragen, die nicht beeinträchtigt worden seien, weil sie über eigene Sicherheitsprotokolle verfügten und vollständig unabhängig vom Stryker-Netzwerk arbeiteten. Auch Dutzende weitere in Krankenhausnetzen eingebettete Technikwerkzeuge seien nicht betroffen, darunter das freihändige, sprachgesteuerte Kommunikationssystem Vocera Voice und das in Krankenzimmern eingesetzte Sensorsystem Care.ai. Ebenso könnten die chirurgischen Visualisierungsplattformen, das Endoskopiegeschäft und das System zur Verwaltung chirurgischer Tupfer während Operationen weiter genutzt werden.

Darüber hinaus sei es ungefährlich, wenn Stryker-Beschäftigte vor Ort in Krankenhäusern und Gesundheitseinrichtungen tätig seien; auch die Kommunikation per Telefon oder E-Mail mit dem Personal sei unbedenklich. Einen Zeitplan für die Wiederherstellung der Systeme nannte das Unternehmen nicht, betonte aber, man konzentriere sich auf die Plattformen für Bestellung, Versand und Kundensupport.

Nach Angaben von Stryker waren weder Ransomware noch Malware an dem Vorfall beteiligt. Mitarbeiter berichteten, dass alle Geräte mit installiertem Microsoft Intune vollständig gelöscht worden seien. Stryker verwaltet sämtliche Firmengeräte über Microsoft Intune; Sicherheitsexperten verwiesen darauf, dass die Plattform eine Funktion besitzt, mit der jemand mit administrativem Zugang alle Geräte löschen könnte.

Die Incident-Responder von Cisco Talos erklärten, der Angriff sei fast mit Sicherheit durch die Kompromittierung hochrangiger Administratorkonten ausgeführt worden – gestützt auf den Fund von Hunderten geleakter Stryker-Zugangsdaten im Darknet. Die Angreifer hätten sich vermutlich Zugriff auf die Microsoft-Intune-Verwaltungskonsole verschafft und dort die plattformeigene Funktion zur Fernlöschung genutzt, um vernetzte Unternehmensgeräte gleichzeitig zurückzusetzen. Diese als „Living off the Land" (LOTL) bezeichnete Technik, bei der vorhandene legitime Werkzeuge missbraucht werden, habe der Gruppe großflächige Zerstörung und Datenverlust ermöglicht – möglicherweise ohne klassische Wiper-Malware.

Die Gruppe Handala gab an, Stryker wegen dessen Zusammenarbeit mit dem US-Verteidigungsministerium ins Visier genommen zu haben. Stryker hat nicht bestätigt, ob der Vorfall offiziell iranischen Cyberakteuren zugeordnet wird. Offen blieb außerdem, wie mit Bestellungen verfahren wird: Vor der Störung aufgegebene Aufträge sollen bei der Wiederherstellung der Systeme abgeglichen werden, während der Störung elektronisch erfasste Bestellungen würden verarbeitet, sobald die Systeme wieder online seien und die Lieferketten normal liefen.