Stryker‑angreb fjern‑sletter titusindvis af enheder uden brug af malware

Eskil Sørensen

03.17.2026 11:47

Et kompromitteret Microsoft‑administratorlogin har givet adgang til Intune’s wipe‑funktion, hvilket resulterede i sletning af op mod 80.000 enheder.

Medtech‑giganten Stryker har bekræftet, at et angreb i sidste uge førte til fjernsletning af titusindvis af administrerede enheder i organisationens Microsoft‑miljø. Ifølge den seneste status ramte hændelsen udelukkende interne systemer – ingen af Strykers medicotekniske produkter eller kliniske enheder blev påvirket, og de vurderes sikre at bruge.

Det skriver Bleeping Computer.

Dele af koncernens ordre‑ og logistiksystemer fortsat offline, hvilket har tvunget kunder til midlertidigt at afgive bestillinger via salgsrepræsentanter.

Global admin‑misbrug: Angriberen brugte Intune som “sletteværktøj”

Angrebet blev hurtigt tilskrevet hacktivistgruppen Handala, som hævder at have slettet mere end 200.000 enheder og stjålet 50 TB data. Disse påstande er dog ikke underbygget af den igangværende efterforskning – der er ingen kendte tegn på datatyveri. En kilde tæt på sagen har ifølge Bleeping Computer oplyst, at angriberen opnåede adgang til et administratorlogin i Strykers Microsoft‑miljø og derefter oprettede en helt ny Global Administrator‑konto.

Fra denne konto blev Intunes wipe‑funktion aktiveret mod tusindvis af enheder i tre timer den 11. marts.

Resultatet var, at

ca. 80.000 enheder modtog kommandoen
både arbejdscomputere og privat udstyr tilmeldt som BYOD blev ramt
flere medarbejdere mistede personlige data, der lå på enheder administreret af Stryker

Angrebet var derfor ikke afhængigt af malware eller udnyttelse af lokale sårbarheder; der skulle bare være adgang til det rigtige kontrolpanel.

Efterforskningen håndteres aktuelt af Microsofts DART‑team sammen med Palo Alto Networks Unit 42.

Et angreb helt uden malware med stor effekt

Stryker understreger, at hændelsen ikke har påvirket medicotekniske produkter, IoT‑enheder eller digitale eller forbundne systemer brugt i klinisk drift. Det mest bemærkelsesværdige i Stryker‑hændelsen er imidlertid, at angriberen kun brugte kompromitterede legitimationsoplysninger, standardværktøjer i Microsoft 365 og Intune’s remote wipe som destruktionsmekanisme.

Angrebets effektivitet kommer dermed ikke fra teknisk kompleksitet, men fra adgangsniveauet. Et Global Admin‑token gav angriberen mulighed for at trykke på en knap, der normalt kun anvendes ved tabte enheder – og så ellers gentage processen på titusindvis af endpoints.

Stryker rapporterer, at deres kerne‑systemer er på en “klar vej mod fuld genopretning”. Der arbejdes tæt med både Microsoft og Palo Alto for at validere hændelsesforløbet og styrke adgangen til virksomhedens globale infrastruktur.

Stryker er en amerikansk medicoteknologisk koncern og en af verdens største producenter af kirurgisk udstyr, medicinsk hardware, implantater og andet hospitalsteknologi.

Læs mere

https://www.bleepingcomputer.com/news/security/stryker-attack-wiped-tens-of-thousands-of-devices-no-malware-needed/

Sikkerhedshændelse