Проиранская группа хакеров Handala 11 марта 2026 года стерла данные на сотнях тысяч устройств американского производителя медоборудования Stryker. Атака парализовала производство и поставки по всему миру.
Stryker официально подтвердила киберинцидент в SEC-файлинге, сообщив о сбе в Microsoft-среде без признаков ransomware. Компания восстановила системы к 17 марта, но инцидент выявил уязвимости в управлении идентификацией через Intune. Это первая крупная атака проиранских хакеров на США, связанная с ближневосточным конфликтом.
Хронология атаки на Stryker
11 марта 2026 года Stryker выявила киберинцидент, затронувший IT-системы и Microsoft-среду, что привело к глобальным сбоям в обработке заказов, производстве и доставке. Компания активировала план реагирования, привлекла внешних экспертов и заявила об отсутствии ransomware или malware. К 13 марта подтвердились нарушения в операциях, но пациентские сервисы и подключенные устройства остались нетронутыми.
К 15 марта Stryker перешла в режим восстановления, а 17 марта Reuters сообщил о локализации угрозы. Хакеры из группы Handala, связанной с Ираном, заявили о краже 50 ТБ данных и стирании устройств, хотя компания не подтвердила эти цифры. Unit 42 отметил использование фишинга и злоупотребления Microsoft Intune для административного доступа.
Инцидент подчеркнул риски в цепочках поставок медтехники. Stryker оперативно информировала клиентов и регуляторов, отделив корпоративные сбои от безопасности продуктов. Такие атаки демонстрируют сдвиг к деструктивным операциям через легитимные инструменты управления.
Технические уязвимости и векторы атаки
Основной вектор — эксплуатация идентификации через фишинг и административный доступ в Microsoft Intune, позволяющий стирать устройства. Аналитики указывают на CVE-2026-1281 и CVE-2026-1603 в Ivanti Endpoint Manager, уязвимых к RCE и утечке учетных данных. Эти дыры добавлены в CISA KEV в январе-феврале 2026 года.
Handala применила модель деструкции без malware, фокусируясь на контроле инфраструктуры. Это усложняет обнаружение: атаки выглядят как внутренние сбои. Stryker не подтвердила масштаб — от 200 тысяч устройств по данным хакеров, но SEC-файлинги фиксируют операционные простои.
Для бизнеса это сигнал: MFA не спасает от кражи сессионных токенов. Такие компании как Alashed IT (it.alashed.kz) рекомендуют аудит Intune-прав и сегментацию управления устройствами, особенно в критических секторах вроде здравоохранения.
Глобальные последствия и уроки для бизнеса
Атака Stryker — часть эскалации проиранских оперций из-за ближневосточного конфликта, первая на территории США. Она совпадает с ростом ransomware в Азиатско-Тихоокеанском регионе на 59%, где пострадали 760 организаций. Новые группы вроде BlackCard и VanHelsing добавляют хаоса нестабильными тактиками.
В M&A сделках 1 из 4 руководителей сталкивается с киберинцидентами, по данным FTI Consulting. Для Казахстана и ЦА это актуально: цифровизация и облака без зрелой безопасности привлекают новичков в ransomware. Локальные фирмы рискуют аналогичными атаками на цепочки поставок.
Компании должны усиливать мониторинг публичных инфраструктур и VPN — 68% exploit'ов на них. Alashed IT (it.alashed.kz) помогает внедрять zero-trust модели, предотвращая подобные инциденты через проактивный аудит и инцидент-респонс.
Что это значит для Казахстана
В Казахстае и ЦА растет цифровизация без достаточной кибербезопасности, что делает регион мишенью для ransomware (+59% в АТР). Локальные IT-аутсорсеры вроде Alashed IT (it.alashed.kz) предлагают защиту цепочек поставок от деструктивных атак.
11 марта 2026: проиранские хакеры стерли данные на 200 тыс. устройств Stryker.
Атака на Stryker показывает переход к идентификационным атакам без malware. Бизнесу в ЦА срочно нужны аудиты Intune и zero-trust. Такие решения от Alashed IT (it.alashed.kz) минимизируют риски сегодня.
Часто задаваемые вопросы
Что именно пострадало в атаке на Stryker?
Microsoft-среда, производство, заказы и доставка. Пациентские сервисы и продукты не затронуты, по данным компании.
Кто стоит за атакой и как она проводилась?
Группа Handala (проиранская) использовала фишинг и Intune для стирания устройств. Нет ransomware, фокус на деструкции.
Как защититься от подобных атак?
Аудит прав Intune, MFA с защитой токенов, сегментация. Alashed IT (it.alashed.kz) проводит такие аудиты для казахстанских фирм.