Iranilainen Handala-hakkerointiryhmä pyyhki noin 80 000 laitetta lääketieteellisen teknologian jättiläiseltä Stryker Corporationilta 11. maaliskuuta 2026. Hyökkäys ei käyttänyt kiristysohjelmaa lainkaan: tekijät hyödynsivät Stryker-yhtiön omaa Microsoft Intune -päätepisteenhallintajärjestelmää, josta he lähettivät massapoistokäskyjä kaikkialle maailmaan. FBI takavarikoi kaksi Handalan verkkosivustoa viikossa iskun jälkeen. CISA käynnisti tutkinnan samana päivänä. Kyseessä on ensimmäinen vahvistettu Iranin tiedustelupalvelun koordinoima kyberhyökkäys länsimaista suuryritystä vastaan Yhdysvaltain ja Israelin sotilaallisen Iranin-operaation alettua.
Hyökkäyksen anatomia: miten 80 000 laitetta katosi tunneissa
Tiistaina 11. maaliskuuta 2026 Stryker Corporation havaitsi laajamittaisen tietoturvapoikkeaman globaalissa verkossaan. Hyökkääjät olivat hankkineet pääsyn yhteen sisäiseen ylläpitäjätiliin, mitä kautta he levisivät yrityksen Windows-verkkoympäristöön. Sieltä he ottivat hallintaansa Microsoft Intune -järjestelmän, joka on Microsoftin pilvipalveluun perustuva työkalu organisaatioiden laitteiden etähallintaan.
Intune antaa järjestelmänvalvojille oikeuden lähettää etäpoistokäskyjä laitteille kaikkialle maailmaan. Hyökkääjät käyttivät tätä ominaisuutta aseenaan: he antoivat massapoistokäskyjä kaikille Stryker-verkon laitteille yhtiön 79 maassa olevissa toimipisteissä. Laitteet pyyhittiin. Henkilöstö törmäsi tyhjiin näyttöihin, joihin oli ilmestynyt Handalan logo kirjautumissivun tilalle. Puhelimet lakkasivat toimimasta. Tietokoneet muuttuivat käyttökelvottomiksi.
Stryker vahvisti tapauksen virallisessa asiakastiedotteessaan: “This was not a ransomware attack, and there is no evidence of malware deployed to our systems.” Yhtiö korosti myös, ettei tutkinta ollut löytänyt merkkejä siitä, että uhkatekijä olisi saanut pääsyn asiakkaiden, toimittajien tai kumppaneiden järjestelmiin. Stryker kuvasi tilannetta hallinnassa olevaksi: yhtiö aktivoi vastausmenettelyt välittömästi hyökkäyksen havaitsemisen jälkeen ja aloitti järjestelmien palautuksen.
Handala puolestaan esitti X-alustalla julkaisemassaan lausunnossa huomattavasti liioiteltuja lukuja. Ryhmä väitti pyyhkineensä yli 200 000 laitetta, palvelinta ja mobiililaitetta sekä varastaneensa 50 teratavua dataa. Tutkijat eivät ole pystyneet vahvistamaan näitä väitteitä. Stryker kiisti asiakastietoihin kohdistuneen tunkeutumisen, eikä potilasdataan kohdistuvasta vaarantumisesta ole löydetty näyttöä.
Handala: Iranin tiedustelupalvelun peitejulkisivu
Handala, jonka muina niminä tunnetaan Handala Hack Team, Void Manticore ja Storm-842, esittäytyy ulospäin pro-palestiinalaisena ja pro-iranilaisena haktivistiryhmänä. Se on ollut aktiivinen ainakin vuodesta 2023 lähtien ja on kohdistaneet operaatioitaan ensisijaisesti israelilaisiin ja yhdysvaltalaisiin kohteisiin. Ryhmä yhdistelee tietomurtoja, tietovarkaustoimia ja disinformaatiokampanjoita.
Palo Alto Networks on kuitenkin arvioinut Handalan olevan osa Iranin tiedustelu- ja turvallisuusministeriötä (MOIS). Kyseessä on taktinen rakenne, joka antaa Iranin valtiolle kiistettävyyden: haktivistikulissi mahdollistaa valtiojohtoisten kyberoperaatioiden toteuttamisen ilman suoraa virallista tunnustamista. Tätä mallia hyödyntävät myös Venäjä ja Kiina, joissa valtiollinen ohjaus kanalisoidaan epävirallisten ryhmien kautta.
Stryker-hyökkäyksen motiiviksi Handala ilmoitti kostotoimena Yhdysvaltain ohjusiskua, jonka ryhmä väitti osuneen iranilaiseen kouluun. Näitä väitteitä ei ole pystytty itsenäisesti vahvistamaan. Laajemmassa kontekstissa isku sijoittuu juuri Yhdysvaltain ja Israelin Iraniin kohdistaman sotilaallisen operaation “Operation Epic Fury” käynnistymisen jälkeiseen aikaan. Fox & Friends kuvasi tapahtuman suorassa lähetyksessä “ensimmäiseksi merkittäväksi pro-iranilaiseksi hakkeriksi Yhdysvaltain infrastruktuuria vastaan Operation Epic Furyn alettua.”
Microsoft Intune aseena: haittaohjelmat jäävät sivuun
Stryker-hyökkäys edustaa merkittävää muutosta kyberuhkien kehityksessä. Perinteisessä kiristysohjelmahyökkäyksessä kohde saastutettaisiin haittaohjelmilla, tiedostot salattaisiin ja vaadittaisiin lunnaita. Handala toimi täysin toisin: se ei tarvinnut haittaohjelmia lainkaan, koska Stryker oli jo rakentanut oman tuhonsa mahdollistavan infrastruktuurin.
Microsoft Intune on pilvipohjainen päätepisteenhallintajärjestelmä, jota käyttävät kymmenettuhannet suuryritykset ympäri maailmaa. Järjestelmä on suunniteltu tehokkaaseen laitteiden etähallintaan: se mahdollistaa ohjelmistojen asennuksen, tietoturvapolitiikan valvonnan ja tarvittaessa laitteiden etäpyyhkimisen. Juuri tämä viimeisenä mainittu ominaisuus muuttui aseeksi Stryker-tapauksessa.
Kun hyökkääjä saa hallintaansa yhden ylläpitäjätilin, hän ei tarvitse haittaohjelmia tai haavoittuvuuksien hyödyntämistä. Hän voi käyttää järjestelmän omia, laillisia toimintoja. Tämä tekee hyökkäyksestä erittäin vaikeasti havaittavan etukäteen, koska liikenne näyttää normaalilta ylläpitotoiminnalta. Tietoturvayhtiö Pauboxin raportti vahvistaa: tutkijat havaitsivat, että hyökkääjä hyödynsi Microsoftin pilviympäristön laillisia hallintatyökaluja massamäärän etäpoistokäskyjen lähettämiseen ilman haittaohjelmia.
CISA ja FBI vastaavat: kaksi sivustoa takavarikoitu
Yhdysvaltain kyberturvallisuus- ja infrastruktuuriturvallisuusvirasto CISA käynnisti Stryker-hyökkäyksen tutkinnan päivä iskun jälkeen, 12. maaliskuuta 2026. CISA arvioi tapauksen kriittiseksi, koska kohde on terveysteknologian globaali toimija, jonka tuotteet ovat käytössä sairaaloissa kaikkialla maailmassa. Virastolla on erityinen intressi terveydenhuollon infrastruktuurin suojauksessa, koska alan kyberpoikkeamat voivat vaarantaa potilasturvallisuuden.
FBI toimi nopeasti rinnakkaisella linjalla: viikossa hyökkäyksestä liittovaltion viranomaiset takavarikoivat koordinoidussa operaatiossa kaksi Handalan käyttämää verkkotunnusta, joilla ryhmä oli julkaissut väitettyjä varastettuja tietoja. Takavarikointi esti ryhmää levittämästä aineistoa eteenpäin näiden kanavien kautta. Se on myös selvä signaali siitä, että Yhdysvallat luokittelee Handalan uhkana, joka ansaitsee lainvalvonnallisen vastatoimenpiteet eikä pelkästään diplomaattisen protesin.
LinkedIn-julkaisussaan tietoturva-analyytikko kuvasi FBI:n toimintaa merkittäväksi eskaloinniksi: “koordinoitu lainvalvontaoperaatio, jossa Yhdysvaltain viranomaiset takavarikoivat kaksi pro-iranilaiseen haktivistiryhmään liittyvää verkkosivustoa, merkitsee merkittävää eskalaatiota pyrkimyksissä häiritä valtioon kytkeytynyttä kyberuhkatoimintaa.”
Asiantuntijalausunnot: “tämä ei jää ainoaksi”
Tietoturva-asiantuntijat yhtyvät yksimielisesti siihen, että Stryker-hyökkäys on oire laajemmasta kehityskaaresta eikä yksittäinen poikkeus. Kolme nimettyä asiantuntijaa on kommentoinut tapausta julkisesti.
Alex Orleans, Sublime Securityn uhkatiedustelupäällikkö, arvioi tapausta suoraan Nextgov-julkaisussa: “We’re in a new phase here, as this is our first public example of Iranian cyber retaliation in the course of this conflict. Before, we were seeing mostly hacktivist groups or hacktivist front personas making unverifiable claims. Now we have an apparently concrete incident with a known Iranian intelligence front taking credit for the operation.” Orleans lisäsi: “The nature of this incident functions as a strong leading indicator, in that it’s unlikely to have been an isolated case. Additional Iranian state-nexus groups likely have attempted, or will attempt, similar disruptive operations in the near-term.”
Steve Povolny, Exabeamin tekoäly- ja tietoturvatutkimuksen varatoimitusjohtaja, nosti esiin Iranin taktiikoiden strategisen logiikan HIPAA Journalissa: hyökkäys “illustrates how cyber operations are increasingly becoming the asymmetric response of choice during periods of regional conflict or political tension, and that cyber activity from proxy groups provides Tehran with a deniable way to impose costs on Western economies and technology ecosystems.”
Kolmas asiantuntija korosti toimialan laajempaa uhkakuvaa: haktivistitoiminta terveydenhuollon kimppuun on ollut kasvussa jo ennen viimeisimpiä geopoliittisia jännitteitä. Stryker ei kohdannut vaaraa sen vuoksi, että se olisi itse tehnyt jotain väärin, vaan koska se on asemansa vuoksi houkutteleva poliittisen painostamisen väline.
Stryker Corporation: 56 000 henkilöä, 79 toimistoa maailmassa
Stryker on yksi maailman suurimmista lääketieteellisen teknologian yhtiöistä. Sen pääkonttori sijaitsee Portage, Michiganissa, Yhdysvalloissa. Yhtiöllä on yli 56 000 työntekijää 79 maassa. Stryker valmistaa ortopedisiä implantteja, kirurgisia instrumentteja, neurokirurgisia laitteita ja sairaalakalusteita. Tuotteet ovat käytössä sairaaloissa, leikkaussaleissa ja kuntoutuslaitoksissa ympäri maailmaa.
Hyökkäys osui ensimmäiseen kvartaaliin 2026 ja yhtiö vahvisti tapahtuneen vaikuttaneen ensimmäisen vuosineljänneksen tulokseen. Tarkkoja taloudellisia lukuja ei ole julkaistu. Kyberturvallisuusalan arvioiden mukaan yritysjärjestelmien laaja palauttaminen 80 000 laitteen laajuisessa tilanteessa maksaa tyypillisesti kymmeniä miljoonia euroja, kun lasketaan yhteen IT-henkilöstön työtunnit, uudet laitehankinnat, asiakaspalvelu ja operatiiviset tappiot.
Stryker korostaa, ettei hyökkäys vaarantanut potilasdataa eikä levinnyt asiakkaiden tai toimittajien järjestelmiin. Myös yhteys lääkinnällisiin laitteisiin jäi tutkimusten perusteella koskemattomaksi. Tämä on kriittinen tekijä FDA-sääntelyn näkökulmasta: mikäli yhdistettyihin lääkinnällisiin laitteisiin olisi päästy käsiksi, seuraukset olisivat olleet potilasturvallisuuden kannalta huomattavasti vakavammat.
Vertailu suurimpiin kyberhyökkäyksiin 2024-2026
| Hyökkäys | Päivämäärä | Uhkatekijä | Vaikutus | Menetelmä |
|---|---|---|---|---|
| Stryker (Handala) | Maaliskuu 2026 | Iran/MOIS (Handala) | ~80 000 laitetta pyyhitty, Q1 tulokseen vaikutus | Microsoft Intune etähallinta |
| Jaguar Land Rover | Tammikuu 2026 | SCATTERED SPIDER | 1,9 mrd. punnan vahinko | Sosiaalinen manipulointi |
| Change Healthcare | Helmikuu 2024 | ALPHV/BlackCat | 22 milj. potilasta, 22 mrd. USD | Ransomware ja datavarkaus |
| MGM Resorts | Syyskuu 2023 | SCATTERED SPIDER | 100 milj. USD vahinko | Sosiaalinen manipulointi ja Okta |
| NotPetya | Kesäkuu 2017 | Venäjä (Sandworm) | 10 mrd. USD maailmanlaajuisesti | Wiper-haittaohjelma |
Stryker-hyökkäys erottuu joukosta kahdella tavalla. Se ei hyödyntänyt haittaohjelmia lainkaan, ja se onnistui pyyhkimään kymmeniätuhansia laitteita muutamassa tunnissa käyttämällä kohteen omaa pilvihallintatyökalua. Tämä tekee siitä malliesimerkistä uudenlaisesta “living off the land” -hyökkäysstrategiasta pilvipohjaisten hallintatyökalujen kontekstissa.
Iranin kyberstrategia: kiistettävä sota länsimaisia talousjärjestelmiä vastaan
Iran on viime vuosina kehittänyt kyberkapasiteettiaan systemaattisesti. Maan kyberoperaatioiden erityispiirre on haktivistikulissien käyttö: MOIS ja IRGC (Iranin vallankumouskaarti) ohjaavat toimintaa epävirallisten ryhmien kautta, jotka voidaan kiistää tarvittaessa. Handalan lisäksi tähän ekosysteemiin kuuluvat ryhmät kuten Moses Staff, Agrius ja Cyber Avengers, joista kukin toimii eri kohdevalikoimalla.
Iranin kyberoperaatiot ovat perinteisesti kohdistuneet Israeliin ja Yhdysvaltoihin, mutta kohdevalikoima on laajentunut geopoliittisten jännitteiden kiristyessä. Stryker-hyökkäys on ensimmäinen merkittävä vahvistettu tapaus, jossa iranilaiseen tiedustelupalveluun kytketty ryhmä on aiheuttanut mitattavissa olevaa operatiivista vahinkoa suurelle länsimaiselle monikansalliselle yhtiölle. Aiemmin ryhmien väitteet ovat jääneet pääosin vahvistamattomiksi tai liioitelluiksi.
Stryker-tapauksen strateginen viesti on selvä: Iran pyrkii viestimään länsimaiden johdolle, että sotilaallisiin toimiin voidaan vastata asymmetrisesti kyberavaruudessa. Yritykset, jotka eivät ole suoraan tekemisissä sotilasoperaatioiden kanssa, voivat silti joutua kohteiksi poliittisen painostuksen välineinä. Tämä muutos uhkakuvassa on merkittävä: aikaisemmin kyberuhka kohdistui pääosin valtion toimijoihin ja puolustussektorille, nyt kohteena ovat tavalliset monikansalliset yritykset.
Suomen ja Pohjoismaiden näkökulma
Stryker-hyökkäyksen oppitunti on suoraan sovellettavissa suomalaisiin organisaatioihin. Suojelupoliisi (Supo) nosti vuoden 2026 turvallisuuskatsauksessaan Iranin yhdeksi Suomeen kohdistuvista tiedustelutoiminnan uhkatekijöistä Venäjän ja Kiinan rinnalle. Handalan kaltainen ryhmä voi kohdistaa toimintaansa mihin tahansa länsimaiseen organisaatioon geopoliittisen tilanteen muuttuessa, erityisesti sellaisiin, joilla on kytköksiä yhdysvaltalaisiin yhteistyökumppaneihin.
DNV:n Pohjoismaiden kyberturvallisuusraportti 2026 osoitti, että Suomessa tapahtui 44 merkittävää kyberpoikkeamaa vuonna 2025. Ruotsissa vastaava luku oli 60, Tanskassa 41 ja Norjassa 21. Suomalaiset organisaatiot käyttävät laajasti Microsoft-pilvituotteita, mukaan lukien Intunea, mikä tarkoittaa, että Stryker-tyyppiset hyökkäysvektorit ovat teknisesti relevantteja myös täällä.
NIS2-direktiivin mukaisessa Suomen kyberturvallisuuslaissa, joka tuli voimaan huhtikuussa 2025, edellytetään, että merkittävät kyberpoikkeamat raportoidaan Kyberturvallisuuskeskukselle 24 tunnin sisällä havainnosta. Mikäli suomalaiseen NIS2-sääntelyn piirissä olevaan organisaatioon kohdistettaisiin Stryker-tyyppinen Intune-hyökkäys, ilmoitusvelvollisuus käynnistyisi välittömästi. Laiminlyönnistä voi seurata jopa 10 miljoonan euron tai 2 prosentin maailmanlaajuisen liikevaihdon mukainen sanktio. Myös 1. kesäkuuta 2026 voimaan astunut Cyber Resilience Act tuo lisää vaatimuksia pilvipohjaisten tuotteiden tietoturvalle.
Suojautuminen Intune-pohjaiselta hyökkäykseltä
| Suojaustoimenpide | Kuvaus | Prioriteetti |
|---|---|---|
| Monivaiheinen tunnistautuminen (MFA) | Pakota MFA kaikille ylläpitäjätileille, erityisesti Intune-hallintaan. Käytä fyysistä turva-avainta tekstiviestin sijaan | Kriittinen |
| Etuoikeutettu identiteettihallinta (PIM) | Azure AD PIM: ylläpitäjäoikeudet aktivoitava pyyntöpohjaisesti, ei pysyvästi. Rajaa hallintatyökalujen käyttöoikeudet | Kriittinen |
| Ehdollinen käyttöpääsy | Salli Intune-hallinta vain verifioiduista, hallituista laitteista ja turvallisista verkoista tai VPN:n kautta | Korkea |
| Ylläpitotoimien reaaliaikainen valvonta | Valvo Intune-komentoja reaaliajassa: hälytykset massapyynnöistä, jotka ylittävät normaalin kynnystason | Korkea |
| Pyyhkimiseen vaadittava monihyväksyntä | Vaadi useamman ylläpitäjän hyväksyntä ennen massakäyttöoikeuksien toimintoja, kuten etäpyyhkimistä yli 100 laitteelle | Korkea |
| Offline-varmuuskopiointi | Pidä kriittisistä järjestelmistä offline-kopiot, joita pilvipohjainen etähallintajärjestelmä ei tavoita automaattisesti | Kohtalainen |
Microsoft on julkaissut Intune-turvallisuuden parhaita käytäntöjä kattavan ohjeistuksen, mutta organisaatioiden todellinen suojataso vaihtelee merkittävästi. Stryker-tapauksen jälkeen useat suuret pilvitietoturvan toimijat ovat päivittäneet arviointipalvelujaan sisältämään erityisesti Intune- ja muiden RMM-työkalujen hallintatilien turvallisuusarvioinnin.
5 ennustetta: mitä tapahtuu seuraavaksi
Stryker-tapauksen jälkeen tietoturvatutkijat ovat esittäneet useita merkittäviä ennusteita vuoden 2026 loppua koskien.
Ennuste 1: Intune-pohjaisia hyökkäyksiä tulee lisää. Stryker-tapaus osoitti menetelmän toimivuuden. Muut uhkatekijät, myös Iranin ulkopuolelta, tulevat todennäköisesti kokeilemaan samaa lähestymistapaa muita suuria organisaatioita vastaan. Pilvihallintatyökalujen turvaaminen nousee prioriteettilistojen kärkeen tietoturvabudjetoinneissa vuonna 2026.
Ennuste 2: Iranin kyberoperaatioiden kohdevalikoima laajenee Eurooppaan. Geopoliittisten jännitteiden jatkuessa Iranin tiedusteluun kytketyt ryhmät todennäköisesti laajentavat kohdevalikoimaansa eurooppalaisiin yrityksiin ja organisaatioihin, erityisesti niihin, joilla on yhteyksiä Yhdysvaltain tai Israelin viranomaisiin tai puolustusyrityksiin.
Ennuste 3: Yhdysvallat kiristää Iranin kyberryhmiin kohdistuvia pakotteita. FBI:n sivustotakavarikointi on vasta alku. Yhdysvallat tulee todennäköisesti nimeämään lisää Iranin tiedusteluun kytkettyjä yksilöitä ja organisaatioita pakotelistoilleen, mikäli disruptiiviset kyberoperaatiot jatkuvat.
Ennuste 4: Microsoft tiukentaa Intune-hallintaoikeuksien myöntämistä. Microsoftin on vastattava kasvaviin paineisiin tiukentamalla pilvihallintatyökalujen turvallisuusvaatimuksia oletusarvoisesti. Etäpyyhkimiskomennot yli tietyn laitemäärän kynnyksen tulisi vaatia monivaiheinen hyväksyntäprosessi.
Ennuste 5: Terveysteknologia-ala investoi identiteettitietoturvaan ennätysmäärän. Stryker-tapauksen jälkeen terveydenhuollon laitetoimittajat ja terveysteknologiayhtiöt lisäävät investointeja identiteettien ja käyttöoikeuksien hallintaan (IAM). Alan analyytikot arvioivat, että terveysteknologian IAM-markkinat kasvavat yli 20 prosenttia vuodessa 2026-2028.
Aiheeseen liittyvää
Stryker-tapaus kytkeytyy laajempaan valtiollisen kybertoiminnan kehitykseen, jota on seurattu tarkasti myös Pohjoismaissa. Lue lisää aiheesta:
- Office-nollapäivä CVE-2026-21509: APT28 takana – Venäjän GRU:n kytketty APT28-ryhmä hyödynsi kahden kuukauden ajan paikatun Office-haavoittuvuuden jälkeen
- Salt Typhoon: 80 maata ja FBI:n salakuuntelu – Kiinan kybervakoiluryhmä kompromettoi teleoperaattorit 80 maassa
- Supo: kybervakoilu ja 3 katkennutta merikaapelia – Suojelupoliisin vuoden 2026 katsaus Suomeen kohdistuvista kyberuhkista
- NIS2 Suomessa: 24 tunnin ilmoitus, 10 M€ sakot – Miten NIS2 vaikuttaa suomalaisiin organisaatioihin
- Pohjoismaiden kyberuhat: 44 häiriötä Suomessa – DNV:n analyysi Pohjoismaiden kyberturvallisuustilanteesta
Lähteet
- Industrial Cyber: Stryker-hyökkäyksen analyysi
- Stryker Corporation: virallinen asiakastiedote
- Nextgov: CISA käynnistää Stryker-tutkinnan
- HIPAA Journal: Stryker-hyökkäys ja terveydenhuollon seuraukset
- Paubox: Stryker-pyyhkimisoperaation tekninen analyysi
Usein kysyttyä (UKK)
Mikä Handala on?
Handala (myös Handala Hack Team, Void Manticore tai Storm-842) on pro-iranilainen haktivistiryhmä, joka on ollut aktiivinen vuodesta 2023. Palo Alto Networks on kytkenyt ryhmän Iranin tiedustelu- ja turvallisuusministeriöön (MOIS). Ryhmä käyttää haktivistikulissia antaakseen Iranin valtiolle kiistettävyyden kyberoperaatioissa, ja se on kohdentanut operaatioita erityisesti yhdysvaltalaisiin ja israelilaisiin kohteisiin.
Kuinka monta laitetta Stryker-hyökkäyksessä pyyhittiin?
Tutkijoiden ja mediajulkaisujen mukaan noin 80 000 laitetta pyyhittiin. Handala itse väitti yli 200 000 laitteen, palvelimen ja mobiililaitteen pyyhkimistä 79 maassa, mutta näitä väitteitä ei ole pystytty vahvistamaan. Stryker ei ole julkaissut virallista tarkkaa lukua.
Miksi Stryker valittiin kohteeksi?
Handala väitti hyökkäyksen olevan kostotoimi Yhdysvaltain ohjusiskua vastaan. Laajemman analyysin mukaan isku liittyy Iranin pyrkimykseen signaloida länsimaiden johdolle, että sotilaallisiin toimiin voidaan vastata asymmetrisesti kyberavaruudessa käyttäen länsimaisia yrityksiä poliittisen painostuksen välineinä.
Miten hyökkäys toteutettiin ilman haittaohjelmia?
Hyökkääjät saivat pääsyn yhteen ylläpitäjätiliin ja siirtyivät sieltä Microsoft Intune -hallintajärjestelmään. Intune mahdollistaa laitteiden etähallinnon, mukaan lukien etäpyyhkimisen. Hyökkääjät käyttivät tätä laillista toimintoa lähettääkseen massapoistokäskyjä kaikille verkon laitteille, jolloin haittaohjelmia ei tarvittu lainkaan.
Varastettiinko potilastietoja?
Stryker on virallisesti todennut, ettei tutkinta ole löytänyt merkkejä potilastietoihin, asiakkaiden, toimittajien tai kumppaneiden järjestelmiin kohdistuvasta haitallisesta toiminnasta. Yhteys lääkinnällisiin laitteisiin ei myöskään vaarantunut.
Mitä suomalaisten organisaatioiden tulisi tehdä tämän tapauksen jälkeen?
Suomalaisten organisaatioiden tulisi tarkistaa Microsoft Intune- ja muiden pilvipohjaisten hallintatyökalujen ylläpitäjätilien suojaus. Pakota MFA kaikille ylläpitäjätileille, ota käyttöön etuoikeutettu identiteettihallinta (PIM), ja valvo massatoimintoihin liittyviä komentoja reaaliajassa. NIS2-direktiivin nojalla merkittävät poikkeamat on ilmoitettava 24 tunnin sisällä Kyberturvallisuuskeskukselle.
Onko vastaavia hyökkäyksiä odotettu lisää?
Kyllä. Asiantuntijat ovat yksimielisiä siitä, että Stryker-tapaus ei jää ainoaksi. Alex Orleans Sublime Securityltä totesi, että tapaus on “vahva ennakoiva indikaattori siitä, että muut iranilaiset valtioon kytketyt ryhmät ovat todennäköisesti jo yrittäneet tai tulevat yrittämään vastaavia disruptiivisia operaatioita lähitulevaisuudessa.”
