Международный производитель медицинского оборудования Stryker, входящий в список Fortune 500, столкнулся с одной из самых заметных кибератак в медтех-секторе последних лет. Связанная с Ираном хакерская группировка Handala взяла на себя ответственность за инцидент, заявив об уничтожении данных на сотнях тысяч устройств и хищении десятков терабайт корпоративной информации, что привело к сбоям работы компании по всему миру.
Хакерская группировка Handala и ее предполагаемые связи
Группировка Handala (Handala Hack Team, также известная как Hatef и Hamsa) появилась в конце 2023 года и позиционирует себя как «хактивистское» объединение, поддерживающее палестинскую повестку. Однако аналитики кибербезопасности связывают ее с иранской государственно-спонсируемой структурой Void Manticore, специализирующейся на фишинге, краже данных, вымогательстве и деструктивных атаках с использованием кастомных вайперов (инструментов для безвозвратного стирания информации).
Подобные группы нередко используют хактивистскую легенду для маскировки более системной, геополитически мотивированной деятельности. По совокупности техник, тактик и процедур (TTPs) Handala рассматривается многими исследователями как квази-государственный актор, а не самостоятельное сообщество активистов.
Как прошла кибератака на Stryker: ключевые этапы инцидента
Удаленное стирание через MDM и потеря данных на устройствах
По данным издания Bleeping Computer, атака была зафиксирована ранним утром 11 марта 2026 года. Злоумышленники, по всей видимости, получили доступ к инфраструктуре MDM (Mobile Device Management) — системе централизованного управления корпоративными устройствами. Через нее было инициировано удаленное стирание большого числа зарегистрированных девайсов.
Хакеры из Handala утверждают, что уничтожили данные более чем на 200 000 серверов, мобильных и прочих систем, а также похитили около 50 ТБ данных. Эти заявления пока не подтверждены публично в полном объеме, однако масштаб инцидента иллюстрирует, насколько критичным может быть компрометация единой точки администрирования устройств.
Особенно болезненным последствием стало то, что пострадали и личные смартфоны сотрудников, подключенные к корпоративной среде в режиме BYOD (Bring Your Own Device). Многие пользователи лишились не только рабочих, но и личных данных, что подняло вопросы о рисках совмещения личных и корпоративных сред на одном устройстве.
Дефейс Entra и реакция Stryker
Сотрудники и подрядчики Stryker сообщали, что при попытке входа в корпоративные системы видели на страницах аутентификации логотип Handala. Злоумышленники, по сообщениям СМИ, дефейснули страницу входа Entra (сервис идентификации и управления доступом), тем самым продемонстрировав глубокий контроль над элементами цепочки аутентификации.
Компания оперативно приказала персоналу не включать корпоративные устройства, отключиться от всех сетей и удалить с личных девайсов корпоративные приложения, включая Intune Company Portal, Microsoft Teams и VPN-клиенты. В некоторых подразделениях, по сообщениям сотрудников, работу временно перевели на «ручку и бумагу», что существенно замедлило операционные процессы.
Официальная позиция Stryker и регуляторная отчетность
По данным The Wall Street Journal, Stryker подтвердила факт кибератаки и связанного с ней глобального сбоя. В Комиссию по ценным бумагам и биржам США (SEC) компания направила форму 8-K, как того требуют правила раскрытия информации о значимых инцидентах.
В сообщении для регулятора было указано, что Stryker активировала план реагирования на киберинциденты и привлекла внешних консультантов в области кибербезопасности и цифровой криминалистики. При этом компания заявила, что не выявила признаков шифрования данных или внедрения малвари и считает инцидент локализованным. Это косвенно указывает на то, что основной упор атаки мог быть сделан не на классическое ransomware, а на деструктивные действия и саботаж через управляемую инфраструктуру.
Риски для медицины и стратегический разбор инцидента
Stryker — один из ключевых игроков в глобальных цепочках поставок ортопедических имплантатов, хирургического и нейротехнологического оборудования. В компании работает около 53 000 сотрудников, а продукция используется тысячами клиник по миру. Хотя информации о прямом влиянии атаки на работу больниц пока немного, подобные инциденты в медтех-секторе создают непосредственные риски для непрерывности медицинской помощи.
Для здравоохранения критична не только конфиденциальность, но и доступность систем: простои в производстве, логистике и сервисном обслуживании сложного оборудования способны привести к отсрочке операций и диагностических процедур. Инцидент вокруг Stryker демонстрирует, что атака на технологии поставщика может иметь эффект цепной реакции для целой отрасли.
Уязвимость централизованного управления и уроки для бизнеса
Компрометация MDM-платформы превращает ее в «точку единого отказа». Получив контроль над этим контуром, злоумышленники способны:
– массово стирать данные и сбрасывать устройства;
– менять политики безопасности и настройки доступа;
– блокировать критически важные сервисы;
– потенциально развертывать вредоносное ПО на огромном числе конечных точек.
Инцидент Stryker подчеркивает необходимость для крупных компаний, особенно в медицине и критически важных отраслях, пересмотреть подходы к:
– защите учетных записей администраторов MDM и IdP (многофакторная аутентификация, аппаратные ключи, строгий контроль привилегий);
– сегментации инфраструктуры, чтобы компрометация одного контура не вела к обрушению всей экосистемы;
– управлению BYOD: минимизация доступа с личных устройств, изоляция рабочих профилей и четкая политика резервного копирования личных данных;
– регулярному тестированию планов реагирования на инциденты, включая сценарии полной недоступности MDM и систем аутентификации.
Для организаций здравоохранения и их поставщиков этот инцидент — сигнал к действию. Необходимо провести аудит своих цепочек поставок, определить критически важные зависимые сервисы и усилить требования к киберустойчивости партнеров.
Кибератака на Stryker показывает, что даже зрелые корпорации с глобальным присутствием уязвимы перед целевыми операциями продвинутых группировок. Комплексная защита цепочек поставок, жесткий контроль над системами управления устройствами и идентификацией, внедрение принципов Zero Trust, а также постоянное обучение сотрудников — ключевые шаги, которые должны быть предприняты уже сейчас. Организациям, работающим в медицине и смежных отраслях, имеет смысл использовать этот инцидент как отправную точку для пересмотра собственных стратегий кибербезопасности и проработки сценариев устойчивости к деструктивным атакам.
