Проиранская группировка Handala атаковала медтехгиганта Stryker и стёрла данные на 200 000 устройств

Медтехнологическая компания Stryker подтвердила глобальный сбой после кибератаки 11 марта 2026 года. По данным BleepingComputer, проиранская группировка Handala (она же Handala Hack Team, Hatef, Hamsa) заявила об ответственности и утверждает, что стёрла данные на более чем 200 000 серверов, систем и мобильных устройств, а также выгрузила 50 терабайт данных. Stryker подала форму 8-K в SEC, подтвердив инцидент.

Атака началась около полуночи по восточному времени. Хакеры удалённо стёрли данные на устройствах под управлением Windows, зарегистрированных в корпоративной системе управления (MDM). По данным SecurityWeek, пострадали ноутбуки и мобильные телефоны сотрудников, включая личные устройства с подключённым корпоративным профилем. На экранах входа в систему Entra появился логотип Handala.

Stryker разослала сотрудникам письмо с требованием отключиться от корпоративных сетей и не включать выданные компанией устройства. Некоторые подразделения перешли на бумажный документооборот. В заявлении компания указала, что «признаков программы-вымогателя и вредоносного ПО не обнаружено» и что «инцидент удалось локализовать».

Если причастность подтвердится, это будет первый случай, когда Handala атаковала крупную американскую компанию. Критическая медицинская инфраструктура представляет высокоценную мишень с высоким ущербом. Нарушение работы означает не просто потерю данных, а угрозу безопасности пациентов.

— Сергей Шикевич, руководитель группы анализа угроз, Check Point Research

Handala позиционирует себя как проиранское и пропалестинское хактивистское движение. По данным Cybersecurity Dive со ссылкой на Palo Alto Networks Unit 42, группировка связана с Министерством разведки и безопасности Ирана (MOIS). SecurityWeek со ссылкой на аналитиков считает Handala фронтом для Void Manticore, иранского государственного злоумышленника. Группировка активизировалась после начала ударов США и Израиля по Ирану 28 февраля 2026 года.

Stryker входит в список Fortune 500. Компания производит ортопедические импланты, хирургических роботов, медицинские кровати и нейротехнологическое оборудование. 56 000 сотрудников, присутствие в 61 стране, выручка за 2025 год $25,1 млрд. Продукция компании, по данным Stryker, ежегодно используется при лечении более 150 миллионов пациентов.

На фоне конфликта активизировались и другие иранские группировки. По данным исследователей Symantec и Carbon Black, группировка Seedworm (MuddyWater), также связанная с Ираном, с начала февраля проникала в сети американских компаний и устанавливала бэкдоры. Handala заявила об атаке и на производителя платёжных терминалов Verifone, однако Verifone опровергла взлом в комментарии The Register.