Stryker stellt nach eigenen Angaben die gelöschten Systeme neu auf oder spielt sie aus Backups zurück, die vor dem bekannten Kompromittierungszeitraum liegen, um ein erneutes Eindringen der Angreifer zu verhindern. Noch nicht wiederhergestellte Systeme sind vom Netzwerk isoliert. Vorrang habe die Wiederherstellung jener Systeme, die direkt Kunden, Bestellungen und Versand betreffen.
Wie schwer der Vorfall wog, geht aus einer eidesstattlichen Erklärung des US-Justizministeriums gegen die iranischen Angreifer hervor. Darin schreiben die Staatsanwälte, der Angriff auf Stryker habe „unmittelbare Auswirkungen auf den Rettungsdienst und Krankenhäuser in Maryland“ gehabt und einige Kliniken dazu bewogen, ihre Verbindungen zu dem Unternehmen vorübergehend zu kappen – aus Furcht, selbst von dem Löschvorgang betroffen zu sein.
Die Erklärung verweist auf einen Stryker-Mitarbeiter an einem Krankenhaus in Maryland, der nach der Löschung seines Geräts kaum noch arbeiten konnte. Stryker stellt unter anderem Krankenhaustechnik wie Bettsensoren und freihändige Kommunikationsgeräte her, über die Pflegekräfte und Ärzte miteinander in Kontakt treten. Den Gerichtsunterlagen zufolge wurden Klinikpersonal infolge der Störung angewiesen, „auf Funkrücksprache und mündliche Beschreibung zurückzugreifen“. Die Unterbrechung der erforderlichen klinischen Kommunikationssysteme zeige, dass der Angriff in einigen Fällen die Notfallversorgung in Krankenhäusern in Maryland beeinträchtigt habe, so die Staatsanwälte.
Der Angriff zielte auf die internen Microsoft-Systeme des Unternehmens. Die Angreifer missbrauchten die in Microsoft Intune integrierte Geräte-Löschfunktion, um auf mehr als 200.000 Geräten der Belegschaft sämtliche Firmendaten zu vernichten – betroffen waren Mitarbeiter in den USA, Irland, Indien und weiteren Ländern.
Zum Thema Schadsoftware vollzog Stryker eine Korrektur seiner bisherigen Darstellung. Seit Beginn des Vorfalls hatte das Unternehmen öffentlich und gegenüber Aufsichtsbehörden wiederholt erklärt, weder Ransomware noch Malware seien beteiligt gewesen. In der Montags-Mitteilung hieß es nun, Unit 42 und weitere Experten hätten festgestellt, dass die Täter eine bösartige Datei zum Ausführen von Befehlen nutzten, um ihre Präsenz in den Systemen zu verschleiern. „Um es klar zu sagen: Diese Datei war nicht in der Lage, sich zu verbreiten – weder innerhalb noch außerhalb unserer Umgebung“, so Stryker. Zu keinem Zeitpunkt habe die Untersuchung schädliche Aktivitäten gegen Kunden, Lieferanten, Anbieter oder Partner festgestellt.
Troy Bettencourt, Vice President für Incident Response bei Palo Alto Networks Unit 42, bestätigte in einem von Stryker veröffentlichten Schreiben, dass der Vorfall eingedämmt sei und es keine Hinweise auf einen Zugriff der Angreifer auf Kunden-, Lieferanten- oder Partnersysteme gebe. Unit 42 habe geholfen, von den Tätern installierte „unbefugte Persistenzmechanismen“ zu entfernen, und finde derzeit keine Belege für aktiven, nicht eingedämmten Zugriff in der Stryker-Umgebung; zur weiteren Überwachung arbeite man mit Microsoft zusammen.
Die Fertigungssysteme würden „rasch hochgefahren, während kritische Linien und Werke wieder ans Netz gehen“, teilte das Unternehmen mit; die weltweiten Produktionsstandorte stabilisierten sich weiter. Bloomberg berichtete, dass infolge des Angriffs einige Operationen abgesagt wurden, weil von Stryker gefertigte Implantate nicht verfügbar waren.
