Medizintechnik-Konzern Stryker: Iranische Gruppe löscht 200.000 Geräte über Intune

Am 11. März 2026 wurde der US-amerikanische Medizintechnikkonzern Stryker Opfer eines gezielten Cyberangriffs, der erhebliche Störungen in der weltweiten Microsoft-Umgebung des Unternehmens verursachte. Betroffen waren Auftragsverarbeitung, Fertigung und Logistik – in Irland, dem größten Standort außerhalb der USA, wurden Mitarbeitende nach Hause geschickt. Die Hackergruppe Handala beansprucht die Tat für sich und gibt an, über 200.000 Geräte gelöscht und 50 TB Daten gestohlen zu haben.

Besonders bemerkenswert an diesem Angriff ist die Methode: Statt klassischer Schadsoftware sollen die Angreifer Microsoft Intune missbraucht haben – ein legitimes, cloudbasiertes Verwaltungswerkzeug, das Unternehmen zur Geräteverwaltung einsetzen. Damit konnten Systeme remote gelöscht werden, ohne dass Antiviren-Software anschlägt. Stryker selbst bestätigt, dass weder Malware noch Ransomware gefunden wurde, was diese These stützt. Solche „Living-off-the-Land"-Angriffe sind schwer zu erkennen, weil sie keine verdächtigen Werkzeuge einschleusen, sondern vorhandene IT-Infrastruktur gegen das Unternehmen wenden.

Handala wird von Sicherheitsforschern mehrheitlich als Tarnung für Void Manticore gewertet, eine mutmaßlich iranisch staatlich gesteuerte Gruppe unter dem iranischen Geheimdienst MOIS. Die Gruppe ist seit dem Wiederaufflammen des US-Israel-Iran-Konflikts Ende Februar deutlich aktiver geworden und zielt bevorzugt auf Organisationen, die als israelnahe gelten.

Für Krankenhäuser und Gesundheitseinrichtungen, die Stryker-Produkte einsetzen: Medizinische Geräte wie LIFEPAK, Mako oder Vocera waren laut Stryker nicht betroffen und können weiterhin sicher genutzt werden. Bestellungen und Lieferketten hingegen können verzögert sein – der direkte Kontakt zum Stryker-Vertrieb wird empfohlen.

Was lernen wir daraus? Privilegierte Cloud-Management-Plattformen wie Microsoft Intune sind hochwertige Angriffsziele. Organisationen sollten prüfen, ob Zugriffsrechte auf solche Systeme nach dem Least-Privilege-Prinzip vergeben sind, Multi-Faktor-Authentifizierung konsequent erzwungen wird und ungewöhnliche Massenaktionen auf Endgeräten durch Monitoring-Systeme erkannt würden.

Weitere Informationen und laufende Updates direkt von Stryker: stryker.com/newsroom – Originalbericht auf SecurityWeek: securityweek.com

Related Posts

Reprompt: One-Click-Angriff auf Microsoft Copilot erlaubte verdeckte Datenabflüsse

Varonis hat mit „Reprompt“ einen Angriff beschrieben, der in Microsoft Copilot Personal mit nur einem Klick auf einen legitimen Microsoft-Copilot-Link eine verdeckte Datenabfluss-Kette auslösen konnte. Die Methode nutzte unter anderem den URL-Parameter q, um Prompts beim Öffnen der Copilot-Webseite automatisch auszuführen – ohne dass Nutzer aktiv etwas in Copilot eingeben mussten.

Read More

Facebook-Phishing: Angreifer setzen verstärkt auf Browser-in-the-Browser-Technik

Cyberkriminelle nutzen zunehmend die sogenannte Browser-in-the-Browser-(BitB)-Methode, um Facebook-Nutzer zur Preisgabe ihrer Zugangsdaten zu verleiten. Laut Beobachtungen von Trellix ist diese Technik in den vergangenen sechs Monaten vermehrt in Phishing-Kampagnen gegen Facebook im Einsatz und stellt eine deutliche Weiterentwicklung klassischer Login-Betrugsmaschen dar.

Read More

Datenpanne bei asgoodasnew – 1,8 Millionen Kunden betroffen

Der deutsche Wiederverkäufer für Elektronik asgoodasnew wurde Anfang März 2026 Opfer eines Hackerangriffs. Über eine Sicherheitslücke in einem Zahlungsmodul eines Drittanbieters erlangten Angreifer Zugang zu Kundendaten – Namen, Adressen, E-Mail-Adressen, verschlüsselte Passwörter und Bestellhistorien von bis zu 1,8 Millionen Personen könnten abgeflossen sein. Das Unternehmen hat reagiert und alle Passwörter vorsorglich zurückgesetzt.

Read More