Один із найбільших світових виробників медичного обладнання Stryker (список Fortune 500) став жертвою однієї з найпомітніших кібератак у медтех-секторі останніх років. Хакерська група Handala, яку аналітики пов’язують з Іраном, заявила про масове знищення даних на корпоративних пристроях та викрадення десятків терабайт інформації, що спричинило збої в роботі компанії по всьому світу.
Кібератака Handala на Stryker: масштаб інциденту
Інцидент був зафіксований вранці 11 березня 2026 року і, за даними Bleeping Computer, був пов’язаний із компрометацією системи MDM (Mobile Device Management) — платформи централізованого управління корпоративними пристроями. Отримавши доступ до цього контуру, зловмисники ініціювали віддалене стирання даних на великій кількості зареєстрованих девайсів.
Представники Handala стверджують, що знищили дані більш ніж на 200 000 серверів, мобільних та інших системах, а також викрали близько 50 ТБ корпоративної інформації. Хоча ці цифри не були повністю підтверджені публічно, сама можливість такого впливу через одну точку адміністрування демонструє надзвичайну критичність MDM для сучасних компаній.
Хто такі Handala і чому їх пов’язують з Void Manticore
Група Handala (Handala Hack Team, також відома як Hatef та Hamsa) з’явилася наприкінці 2023 року і позиціонує себе як «хактивістське» угруповання, що підтримує палестинську тематику. Водночас дослідники кібербезпеки пов’язують її з іранською державно-спонсорованою структурою Void Manticore, відомою фішинговими кампаніями, крадіжкою даних, вимаганням та деструктивними атаками з використанням кастомних вайперів.
Так званий «хактивізм» у подібних випадках часто використовується як легенда прикриття для операцій, що мають геополітичну мотивацію. За сукупністю тактик, технік і процедур (TTPs) Handala розглядається багатьма експертами не як класичне розрізнене хакерське співтовариство, а як квазі-державний актор з добре вибудуваною інфраструктурою та ресурсами.
Компрометація MDM та Entra: єдина точка відмови в дії
Захоплення Mobile Device Management і наслідки для BYOD
MDM-платформи дозволяють організаціям віддалено конфігурувати, оновлювати, блокувати та стирати пристрої. У випадку зі Stryker цей механізм перетворився на «єдину точку відмови»: отримавши адмінський доступ, зловмисники змогли масово запускати процедури очищення даних.
Особливо чутливим аспектом стало те, що атака торкнулася й особистих смартфонів співробітників, які використовувалися у режимі BYOD (Bring Your Own Device). Дані на цих девайсах були стерті разом з робочими профілями, що актуалізувало питання безпеки змішаного використання одного пристрою для особистих і корпоративних цілей та потреби в чіткому резервному копіюванні особистої інформації.
Дефейс Entra ID та порушення ланцюга автентифікації
Працівники та підрядники Stryker повідомляли, що під час спроби входу до корпоративних сервісів на сторінках автентифікації бачили логотип Handala. ЗМІ зазначають, що було дефейснуто сторінку входу Entra (сервіс ідентифікації та управління доступом Microsoft), що свідчить про глибокий доступ зловмисників до інфраструктури управління ідентичностями (IdP).
Компанія оперативно дала вказівку співробітникам не вмикати корпоративні пристрої, від’єднатися від усіх мереж та видалити з особистих гаджетів корпоративні застосунки, зокрема Intune Company Portal, Microsoft Teams та VPN‑клієнти. У низці підрозділів роботу тимчасово перевели на паперові процедури, що суттєво сповільнило операційні процеси, але дозволило зменшити ризики подальшого поширення інциденту.
Офіційна позиція Stryker та фокус на деструктивних діях
За даними The Wall Street Journal, Stryker підтвердила кібератаку та пов’язаний із нею глобальний збій у роботі. У Комісію з цінних паперів та бірж США (SEC) було подано форму 8‑K, як того вимагають правила розкриття інформації про суттєві кіберінциденти для публічних компаній.
У повідомленні для регулятора Stryker зазначила, що активувала план реагування на кібератаки та залучила зовнішніх експертів з кібербезпеки і цифрової криміналістики. Компанія заявила, що не виявила ознак шифрування даних чи розгортання класичного ransomware, а інцидент вважається локалізованим. Це вказує, що основний акцент міг бути зроблений на саботажі та деструктивних діях через скомпрометовану MDM‑інфраструктуру, а не на прямому вимаганні.
Ризики для медицини та ланцюгів постачання
Stryker є ключовим гравцем на глобальному ринку ортопедичних імплантатів, хірургічного та нейротехнологічного обладнання, у компанії працює близько 53 000 співробітників, а її продукція використовується тисячами клінік по всьому світу. Навіть якщо самі лікарні безпосередньо не були виведені з ладу, подібні атаки створюють прямі ризики для безперервності медичної допомоги через затримки у виробництві, логістиці та сервісному обслуговуванні складних систем.
Європейське агентство з кібербезпеки ENISA та профільні підрозділи МОЗ США вже кілька років попереджають, що атаки на постачальників медичних технологій можуть запускати ланцюгові ефекти по всій галузі. Інцидент зі Stryker підтверджує: компрометація одного великого постачальника здатна вплинути на доступність операцій, діагностики та життєво важливих процедур у багатьох країнах.
Ключові уроки: захист MDM, BYOD та впровадження Zero Trust
Інцидент висвітлює низку критичних напрямів для підсилення кіберзахисту в медицині та інших критично важливих секторах:
- Захист адмінських облікових записів MDM та IdP: обов’язкова багатофакторна автентифікація, апаратні ключі (FIDO2), принцип мінімальних привілеїв та розділення ролей, Just‑in‑Time доступ для найкритичніших операцій.
- Сегментація інфраструктури: розмежування доменів управління пристроями, окремі середовища для тестування та продакшену, щоб компрометація одного контуру не призводила до каскадного відмовлення всієї екосистеми.
- Перегляд політик BYOD: ізоляція робочих профілів, обмеження доступу з особистих пристроїв до найбільш чутливих систем, обов’язкове резервне копіювання особистих даних користувачів перед підключенням до MDM.
- Регулярне тестування планів реагування: навчальні інциденти (tabletop exercises) із моделлю повної недоступності MDM та систем автентифікації, перевірка готовності працювати в деградованому режимі.
- Кіберстійкість ланцюгів постачання: аудит постачальників, включення вимог до кібербезпеки в контракти, прозорість щодо резервних сценаріїв та відновлення після деструктивних атак.
Кібератака на Stryker демонструє, що навіть технологічно зрілі корпорації з глобальною присутністю залишаються вразливими до цілеспрямованих операцій просунутих угруповань. Організаціям у медичному секторі та суміжних галузях доцільно використати цей інцидент як відправну точку для перегляду власних стратегій кібербезпеки: посилити контроль над MDM та системами ідентифікації, впровадити Zero Trust‑підхід, інвестувати в безперервний моніторинг та навчання персоналу й заздалегідь відпрацювати сценарії стійкості до деструктивних атак.
