Den 11. mars 2026 begynte datamaskiner hos Stryker Corporation å slette seg selv. I løpet av timer var over 200.000 enheter lammet på tvers av 79 land, produksjonslinjene stanset og medisinsk utstyr til sykehus over hele verden ble forsinket. Bak angrepet sto Handala, en hackergruppe med direkte tilknytning til Irans etterretningsministerium (MOIS). Det var ikke ransomware, og ingen krav om løsepenger. Målet var destruksjon, frykt og kaos. Det tok 23 dager fra angrepet startet til Stryker gjenopprettet full produksjonsdrift 3. april 2026. For norske og nordiske sykehus som er avhengige av Strykers ortopediske og kirurgiske utstyr daglig, er dette en vekker om sårbarheten i global medisinsk forsyningskjede.
Angrepets kronologi: 23 dager som lammet en medisinsk gigant
Angrepet begynte 11. mars 2026. Stryker-ansatte over hele verden oppdaget at arbeidsdatamaskinene oppførte seg merkelig, og kort tid etter var tusenvis av enheter ute av drift. I løpet av de neste 72 timene ble det klart at dette var et koordinert angrep av en helt annen kaliber enn de vanlige ransomware-angrepene helsesektoren hadde forberedt seg på.
Handala, gruppen som tok ansvar for angrepet, hevdet å ha slettet over 200.000 systemer, servere og mobile enheter. En annen kilde fra sikkerhetsmiljøet oppga at rundt 80.000 Windows-enheter ble fullstendig tømt. Palo Alto Networks ble raskt koblet inn for å bistå med etterforskning og skadevurdering. Innen 15. mars hadde Stryker klart å inneholde angrepet, fire dager etter det startet. Gjenopprettingen tok langt lengre tid. Først 3. april 2026, 23 dager etter det første angrepet, erklærte Stryker seg fullt operasjonell igjen.
Handala hevdet i tillegg å ha stjålet 50 terabyte data fra selskapet. Stryker bekreftet at de ikke hadde bekreftede indikasjoner på at data faktisk var stjålet på angrepstidspunktet. Selskapet inngav en SEC-rapport om hendelsen i tråd med rapporteringskravene fra den amerikanske børs- og verdipapirkommisjonen. Strykers aksje falt med nærmere 4 prosent i kjølvannet av nyheten.
Handala: Irans statsstøttede hacktivist-persona
Handala er ikke en ordinær kriminell hackergruppe. Ifølge det amerikanske justisdepartementet (DOJ) er Handala en fiktiv hacktivist-persona brukt av MOIS, Irans etterretningsministerium, for å gjennomføre destruktive angrep og psykologiske operasjoner mot vestlige og israelske mål. Gruppenavnet er en referanse til den palestinske symbolfiguren Handala, noe som gir angrepene et tilsynelatende pro-palestinsk motiv som fungerer som et skalkeskjul for statlig styrt sabotasje.
Recorded Futures Insikt-gruppe, ett av verdens ledende trusselanalyseselskaper, beskriver Handala som “det viktigste ansiktet for iransk statsstøttet hacktivist-aktivitet.” Metodikken kombinerer destruktive angrep med offentliggjøring av stjålet data for å maksimere psykologisk skade. Gruppen angriper, stjeler data, ødelegger systemer og lekker materiale offentlig, alt under dekke av å være uavhengige frihetskjempere.
Handala har tidligere stått bak en lekkasje av medisinske journaler fra over 10.000 pasienter etter et påstått angrep mot den israelske helseorganisasjonen Clalit Health Services. I 2025 gjennomførte gruppen en hack-og-lekkasje-kampanje rettet mot journalister i Iran International, der de offentliggjorde offisielle ID-dokumenter og annet sensitivt materiale. Stryker-angrepet representerer en betydelig eskalering, både i omfang og i konsekvensene for pasienter utenfor den direkte konfliktsonen mellom Iran og Israel.
DOJ koblet Handala-domenene til iranske IP-adresser, delte lekkasjesider og et felles operasjonelt mønster med kjente MOIS-operasjoner. FBI gjennomførte deretter beslag av domener brukt til å publisere stjålet data og spre Handala-gruppens psykologiske budskap. Det er første gang en stor FBI-aksjon er direkte koblet til beskyttelse av medisinsk forsyningskjede mot iransk statsstøttet aktivitet.
Slik ble Microsoft Intune brukt som destruktivt våpen
Det som skiller Stryker-angrepet fra de fleste andre store cyberangrep er den tekniske tilnærmingen. Angriperne brukte ikke et tradisjonelt ondsinnet program. I stedet kompromitterte de angivelig administrative legitimasjonsobjekter i Strykers Microsoft Intune-miljø, selskapets plattform for administrasjon av alle bedriftsenheter (MDM, Mobile Device Management).
Microsoft Intune brukes av tusenvis av globale selskaper til å administrere, konfigurere og oppdatere alle registrerte bærbare datamaskiner, stasjonære maskiner og mobiltelefoner. En administrator med tilgang til Intune kan sende kommandoer til alle registrerte enheter simultant, inkludert kommandoer for å slette all data. Det er nøyaktig dette angriperne utnyttet seg av.
Ifølge Palo Alto Networks, som bistod Stryker i etterforskningen, ble en ondsinnet fil brukt til å kjøre kommandoer og skjule aktivitet. Filen var imidlertid ikke i stand til å spre seg av seg selv innenfor eller utenfor Strykers nettverk. Angrepet var med andre ord avhengig av at angriperne allerede hadde privilegert tilgang til administrasjonsmiljøet. Den sannsynlige inngangsveien var kompromitterte administrative legitimasjonsobjekter i Strykers Microsoft Entra ID-miljø.
Palo Alto Networks Unit 42 understreker i sin analyse av iranske cyberoperasjoner at Handala “er den mest fremtredende iranske hacktivistprofilen og bruker destruktive og psykologiske taktikker for å formidle politiske budskap.” Bruken av legitime administrasjonsverktøy gjør slike angrep vanskeligere å oppdage med tradisjonelle sikkerhetsverktøy som er konfigurert for å flagge kjent ondsinnet kode, ikke legitime systemkommandoer fra administrative kontoer.
Dette angrepsmønsteret tilhører kategorien “living off the land” (LotL), der angripere bruker verktøy og funksjoner som allerede finnes i offerets eget miljø, i stedet for å installere ny programvare. Det gjør deteksjon langt vanskeligere og gjenoppretting mer tidkrevende, fordi virksomheten ikke bare trenger å fjerne ondsinnet kode, men å gjenoppbygge tillit til hele administrasjonsinfrastrukturen.
Omfanget: 200.000 slettede enheter i 79 land
Stryker Corporation opererer i over 79 land med over 50.000 ansatte globalt. Angrepet rammet ifølge tilgjengelige rapporter kontorer i alle disse landene. Handala hevdet å ha slettet over 200.000 systemer, servere og mobile enheter. En rapport fra sikkerhetsmiljøet antyder at minst 80.000 Windows-enheter ble fullstendig tømt for all data.
For å illustrere omfanget: et gjennomsnittlig stort norsk statlig departement har gjerne mellom 1.000 og 5.000 enheter i sin IT-infrastruktur. Et slikt angrep på Strykers skala tilsvarer at alle datamaskiner i samtlige norske departementer og de fleste statlige etater ble slettet simultant, multiplisert med tre til fire ganger i volum. Dette er ikke bare en IT-katastrofe, men en operasjonell lamming av en global medisinsk leverandørkjede.
Strykers aksjefall på rundt 4 prosent den dagen nyheten ble kjent, reflekterer at finansmarkedene raskt priset inn usikkerhet om operasjonell kapasitet, potensielt tapt inntekt under nedetiden og fremtidige kostnader knyttet til gjenoppbygging av IT-infrastruktur. Selskapet opplyste at angrepet ville påvirke inntektene i første kvartal 2026, men oppga ikke et konkret beløp.
Forsyningskjeden brøt ned: medisinske prosedyrer utsatt
Det som gjør Stryker-angrepet spesielt alvorlig er ikke bare omfanget av IT-infrastrukturen som ble lammet, men de direkte konsekvensene for pasienter. Stryker produserer ortopedisk utstyr, proteser for hofter og knær, kirurgiske instrumenter, nevrokirurgisk utstyr og medisinsk bildediagnostikk som brukes i millioner av operasjoner hvert år. Da produksjon, bestillingssystemer og distribusjon ble stanset, sto sykehus som ventet på kritisk utstyr uten leveranser.
Ifølge rapportering fra bransjenettverket Cybersecurity Dive ble prosedyrer planlagt i uken fra 16. mars 2026 utsatt på grunn av forsinkelser i forsyningskjeden. NHS England utstedte et forsyningsvarsel for NHS-enheter som bruker Strykers utstyr, men bemerket at det ikke var kjente indikasjoner på en pågående trussel mot NHS sine egne systemer som følge av angrepet.
For Stryker, som produserer alt fra hofteproteser til avansert nevrokirurgisk utstyr, er det ikke mulig å bytte til et alternativt produkt med kort varsel. Sykehus er bundet av godkjente leverandørkjeder, og kirurger er spesialtrent på spesifikt utstyr fra bestemte produsenter. En forsyningsstopp på én til to uker kan bety at planlagte operasjoner for hundrevis av pasienter må skyves ut i tid, noe som øker ventelister og kan forsinke nødvendig behandling for pasienter med ortopediske lidelser.
World Health Organization (WHO) har dokumentert at helsesektoren er den sektoren der cyberangrep oftest har direkte innvirkning på pasientbehandling. Stryker-hendelsen er et presist eksempel på det WHO kaller “nedstrøms pasientpåvirkning,” der et angrep mot en leverandør rammer pasienter ved sykehus som ikke selv er angrepet.
Stryker aktiverer kriseberedskap
Stryker reagerte raskt på angrepet. Selskapet stengte det elektroniske bestillingssystemet som et sikkerhetstiltak, og Palo Alto Networks ble koblet inn som etterforsker og rådgiver. Innen 15. mars, fire dager etter angrepet startet, hadde selskapet klart å inneholde hendelsen. Dette er imponerende tatt i betraktning omfanget av infrastrukturen som ble rammet, og illustrerer viktigheten av forhåndsavtalte kontrakter med ledende sikkerhetsleverandører i en kriseberedskapsplan.
Stryker kommuniserte tydelig overfor kunder, sykehus og myndigheter at pasientrelaterte tjenester og tilkoblede medisinske produkter ikke ble berørt av angrepet. “Tilkoblede medisinske teknologier forblir trygge å bruke,” var selskapets offisielle uttalelse. Denne kommunikasjonen var kritisk for å forhindre at sykehus iverksatte unødvendige kriseprosedyrer eller sluttet å bruke medisinsk utstyr som faktisk var trygt i bruk.
Gjenopprettingsprosessen var likevel tidkrevende. Fra inneholdelse 15. mars til full operasjonell drift 3. april tok det 19 ytterligere dager. I denne perioden arbeidet Stryker med å gjenoppbygge kompromittert infrastruktur, verifisere dataintegritet og implementere styrket sikkerhet. Selskapet fant ingen bekreftede bevis på bruk av ransomware, og heller ikke at ondsinnet kode ble installert i tradisjonell forstand. Angriperne brukte systemets egne verktøy mot selskapet.
FBI tar grep: domener beslaglagt og SEC-rapportering
Den amerikanske føderale politimyndigheten FBI gjennomførte beslag av to domener Handala brukte til å lekke stjålet data og spre psykologisk krigføring. Beslaget markerte en sjelden, men viktig offentlig respons fra amerikanske myndigheter mot iransk statsstøttet hacking rettet direkte mot helsesektoren.
DOJ koblet Handala-infrastrukturen til MOIS gjennom analyse av iranske IP-adresser, felles operasjonelle mønstre med kjente MOIS-operasjoner og delt lekkasjeinfrastruktur. “Handala-domenene ble brukt i et felles operasjonelt verktøysett som inkluderte destruktive og forstyrrende angrep, samt falske hacktivist-psykologiske operasjoner,” het det i DOJs vurdering av de beslagte domenene.
SEC-rapporteringen fra Stryker er et direkte resultat av regler innført av den amerikanske børs- og verdipapirkommisjonen i 2023, som krever at børsnoterte selskaper rapporterer vesentlige cybersikkerhetshendelser innen fire arbeidsdager. Stryker fulgte regelverket. Dette gir investorer og partnere tidlig informasjon, men betyr også at sensitiv informasjon om en pågående hendelse kan bli offentlig tilgjengelig mens situasjonen fortsatt er aktiv.
Kronologi for Stryker-angrepet mars 2026
| Dato | Hendelse | Status |
|---|---|---|
| 11. mars 2026 | Handala initierer destruktivt wiper-angrep via Microsoft Intune-infrastruktur; enheter begynner å slette seg | Kritisk |
| 12.–14. mars 2026 | 200.000+ enheter slettet på tvers av 79 Stryker-kontorer; produksjon, bestillinger og frakt stanser | Akutt krise |
| 15. mars 2026 | Stryker inneholder angrepet med hjelp fra Palo Alto Networks; elektronisk bestillingssystem stengt | Inneholdt |
| 16.–22. mars 2026 | Medisinske prosedyrer utsettes på grunn av forsyningsforstyrrelser; NHS England utsteder forsyningsvarsel | Stabilisering |
| Ca. 20. mars 2026 | FBI beslaglegger to Handala-domener brukt til datalekkasje og psykologiske operasjoner; DOJ kobler domenene til MOIS | FBI-aksjon |
| 3. april 2026 | Stryker erklærer seg fullt operasjonell igjen; produksjonsnettverket gjenopprettet 23 dager etter angrepet | Gjenopprettet |
Norsk og nordisk helsesektor i faresonen
Stryker er en av de dominerende leverandørene av ortopedisk og kirurgisk utstyr til norske sykehus. Norske universitetssykehus, regionale helseforetak og private klinikker benytter Stryker-produkter i en rekke prosedyrer, fra kne- og hofteprotesekirurgi til nevrokirurgisk behandling. En forsyningsstopp av Strykers lengde ville ha direkte konsekvenser for norsk venteliste-statistikk og operasjonskapasitet.
Nasjonal sikkerhetsmyndighet (NSM) og Nasjonalt cybersikkerhetssenter (NCSC) har lenge advart om at global leverandørkjedesikkerhet er et undervurdert risikoområde for norsk helse- og omsorgsektor. Stryker-angrepet gir konkret dokumentasjon på at disse advarslene ikke er teoretiske.
Den norske implementeringen av NIS2-direktivet, som er under utarbeidelse gjennom revisjon av digitalsikkerhetsloven, stiller krav til leverandørkjedesikkerhet for virksomheter i kritiske sektorer, inkludert helse. Stryker-angrepet demonstrerer med all ønskelig tydelighet hvorfor disse kravene er nødvendige. Et angrep på en global medisinsk utstyrsleverandør rammer norsk helseinfrastruktur like effektivt som et direkte angrep mot norske systemer, men uten å utløse norske hendelsesrapporteringsplaner.
ENISA, Den europeiske unions cybersikkerhetsbyrå, har gjentatte ganger fremhevet leverandørkjedesikkerhet som en av de største truslene mot europeiske virksomheter. Angrepet på Stryker viser at medisinsk-teknologibransjen, som lenge har vært mindre regulert på cybersikkerhetsområdet enn for eksempel finanssektoren, nå er i frontlinjen av statsstøttede cyberangrep med direkte humanitære konsekvenser.
Stryker sammenlignet med andre store helsesektor-angrep 2024–2026
| Hendelse | År | Angrepstype | Omfang | Konsekvens |
|---|---|---|---|---|
| Stryker (Handala/MOIS, Iran) | 2026 | Wiper/destruktiv via MDM | 200.000+ enheter, 79 land | Produksjon og forsyning stanset 23 dager; prosedyrer utsatt |
| Clalit Health Services (Handala) | 2024–2025 | Hack og lekkasje | 10.000+ pasientjournaler | Sensitiv pasientdata publisert offentlig |
| Change Healthcare (AlphV/BlackCat) | 2024 | Ransomware | Over 190 millioner berørte i USA | 22 millioner dollar i løsepenger; krav og utbetalinger stanset i uker |
| NHS England/Synnovis (Qilin) | 2024 | Ransomware | Over 2,5 millioner pasientavtaler berørt | Kritisk blodforsørgelse midlertidig forstyrret i London |
| Ascension Health (USA) | 2024 | Ransomware | 140 sykehus på tvers av USA | Elektroniske pasientjournaler utilgjengelige i uker |
Tabellen illustrerer en viktig distinksjon: alle de andre store helsesektor-angrepene fra 2024 var ransomware-angrep drevet av kriminell profitt. Stryker-angrepet er et destruktivt statsstøttet angrep uten krav om løsepenger. Det representerer en separat og på mange måter farligere trussel, fordi motivasjonen ikke er penger, men politisk og strategisk skade.
Destruktiv statshacking uten løsepengekrav: et nytt trusselbilde
Stryker-angrepet representerer en viktig eskalering i statsstøttet cyberkrigsføring. Ransomware-grupper som AlphV/BlackCat eller Qilin angriper for å tjene penger. Handala angriper for å ødelegge og skape frykt, på vegne av en statlig oppdragsgiver med geopolitiske motiver knyttet til konflikten mellom Iran og den vestlige verden.
Dette gjør slike angrep vanskeligere å forsvare seg mot. En ransomware-gruppe vil typisk unngå å ødelegge selve offersystemene for å beholde forhandlingsmakten. En statsstøttet wiper-aktør har intet å tape på total destruksjon. De kan ødelegge alt uten å bekymre seg for om offeret vil betale, for betalingskravet eksisterer ikke. Det eneste målet er maksimal skade og politisk budskapsformidling.
Fra et norsk perspektiv er det verdt å merke seg at angrepet mot Bremanger-damanlegget i april 2025, der russiske statlige aktører angivelig tok midlertidig kontroll over et norsk vannkraftanlegg, viser at infrastrukturangrep mot vestlige land er del av en bredere statlig strategi. Iran, Russland, Kina og Nord-Korea opererer alle med statsstøttede cyberangrep som en del av sitt diplomatiske og militære verktøysett. Helsesektoren er nå tydelig innenfor skuddfeltet til flere av disse aktørene.
BleepingComputer, ett av verdens mest fulgte fagmedier for cybersikkerhet, har fulgt Stryker-saken tett og understreker at angrepets bruk av legitime MDM-verktøy representerer en teknikk som er vanskelig å forhindre med tradisjonell perimetersikkerhet alene. Angrepsmetoden er direkte overførbar til andre globale selskaper med store Intune-flåter.
Sikkerhetsekspertenes vurdering av angrepet
Stryker-angrepet har utløst viktige faglige vurderinger fra ledende sikkerhetsmiljøer globalt. Recorded Future, ett av verdens ledende trusselanalyseselskaper, beskriver Handala som “det viktigste ansiktet for iransk statsstøttet hacktivisme” og understreker at gruppens metodikk kombinerer destruktive angrep med offentliggjøring av offerinformasjon for å skape psykologisk effekt langt utover den tekniske skaden. Gruppen er ikke bare ute etter å lamme offeret, men å demonstrere iransk kapasitet til å skade vestlig infrastruktur.
Palo Alto Networks Unit 42, som var direkte involvert i etterforskningen av Stryker-hendelsen, fremhever at iranske statsstøttede aktører “bruker legitime administrasjonsverktøy for å gjennomføre destruktive operasjoner, noe som gjør tradisjonell malware-deteksjon utilstrekkelig.” Konsekvensen er at virksomheter må beskytte selve administrasjonsnivået, ikke bare endepunktene. Privilegert tilgangsstyring og multifaktorautentisering for administratorer er ikke lenger valgfrie tiltak, men absolutte krav.
NHS England kommuniserte i sitt forsyningsvarsel at “det ikke er kjente indikasjoner på en pågående trussel mot NHS-systemer fra dette angrepet,” men varselet understreker at helsetjenesten er avhengig av sine leverandørers cybersikkerhet for sin egen operative sikkerhet. En leverandørkjede er aldri sterkere enn det svakeste leddet, og i dette tilfellet var det svakeste leddet en global medisinsk utstyrsgigant med over 50.000 ansatte i 79 land.
Nasjonalt cybersikkerhetssenter (NCSC) i Norge har i sin trusseloversikt konsekvent pekt på at statsstøttede aktører fra Iran, Russland, Kina og Nord-Korea alle har demonstrert vilje og evne til å ramme kritisk infrastruktur og ledende industriselskaper. Stryker-angrepet gir ett nytt, konkret eksempel på hva dette betyr i praksis, og understreker behovet for at norske virksomheter vurderer sine globale leverandørers sikkerhetsnivå som del av sin egen risikostyring.
Fem prediksjoner: hva skjer etter Stryker-angrepet?
Basert på angrepets natur, de involverte aktørene og de strukturelle sårbarhetene Stryker-saken avslørte, peker bildet frem mot en klar retning for de neste 12 til 24 månedene:
- MDM-plattformer blir primære angrepsmål i 2026–2027. Etter Stryker-angrepets eksempel vil andre statsstøttede og kriminelle aktører se at Microsoft Intune og tilsvarende systemer er ekstremt effektive innfallsvinkler for massesletting eller masseinstallasjon av skadelig kode. Angrep rettet mot MDM-infrastruktur forventes å øke markant i kommende kvartal.
- Medisinsk utstyrsprodusenter vil stå overfor strengere cybersikkerhetskrav. EU-forordningen for medisinsk utstyr (MDR) inkluderer allerede krav til cybersikkerhet for tilkoblede produkter. Stryker-angrepet vil gi politisk drivkraft for å utvide disse kravene til produksjonssystemer og forsyningskjeder, ikke bare selve produktene.
- Norge og Norden vil styrke kravene til leverandørkjedesikkerhet i helselovgivningen. NIS2-implementeringen i norsk rett er under utarbeidelse. Stryker-angrepet gir lovgivere og tilsynsmyndigheter konkret dokumentasjon for å presse på strengere krav til leverandørsikkerhet i helse- og omsorgssektoren.
- Zero-trust-arkitektur vil bli obligatorisk standard i helsesektoren. Stryker-angrepet viste at kompromitterte administrative legitimasjonsobjekter kan gi katastrofalt omfang. Null-tillits-prinsippet, der ingen bruker eller system gis ubegrenset tilgang, vil bli standardkrav i fremtidige sertifiserings- og kontraktsrammeverk for helserelaterte virksomheter.
- Iran vil eskalere cyberoperasjoner mot vestlig helse- og forsvarssektor. Geopolitisk spenning mellom Iran og vestlige land er ikke på vei til å avta. Etter FBI-beslaget av domenene vil iranske statlige aktører sannsynligvis lansere nye infrastrukturer og mer sofistikerte kampanjer. Helsesektoren, med sin kombinasjon av politisk symbolverdi og operasjonell sårbarhet, forblir ett av de mest attraktive målene.
Hva helsesektoren og leverandørene må gjøre nå
Stryker-angrepet leverer klare lærdommer som er direkte omsettbare for norske sykehus, leverandører og IT-avdelinger i helsesektoren. Det første og viktigste tiltaket er å beskytte administrasjonsplanet. Microsoft Intune, Entra ID og tilsvarende MDM/IAM-systemer må sikres med privilegert tilgangsstyring (PAM), multifaktorautentisering for alle administratorer og kontinuerlig overvåking av uvanlige kommandoer mot enhetsflåten.
Videre bør virksomheter i kritiske sektorer gjennomføre regelmessige leverandørsikkerhetsrevisjoner. Det er ikke tilstrekkelig å ha god intern sikkerhet hvis en kritisk leverandør kan lammes og forstyrre driften i tre uker. Beredskapsplaner for forsyningsstans må utvikles parallelt med tradisjonelle katastrofegjenopprettingsplaner.
NCSC Norge publiserer løpende varsler og anbefalinger om relevante trusler. Norske helseinstitusjonener oppfordres til å aktivt følge NSMs sikkerhetsanbefalinger og abonnere på varseltjenesten. ENISA publiserer veiledning for leverandørkjedesikkerhet i kritiske sektorer som er tilgjengelig for alle europeiske virksomheter. I tillegg gir NIST Cybersecurity Framework et strukturert rammeverk for å vurdere og styrke evnen til å identifisere, beskytte, oppdage, respondere på og gjenopprette etter cyberangrep av typen som rammet Stryker.
Spørsmål og svar om Stryker-angrepet
Hyppig stilte spørsmål
Hva er Handala og hvem står bak?
Handala er en Iran-koblet hacktivist-persona brukt av Irans etterretningsministerium (MOIS) for å gjennomføre destruktive cyberangrep og psykologiske operasjoner mot vestlige og israelske mål. Det amerikanske justisdepartementet (DOJ) har koblet gruppen til MOIS gjennom analyse av felles infrastruktur, iranske IP-adresser og operative mønstre. Gruppen opptrer som uavhengige frihetskjempere, men er i realiteten et statlig instrument.
Ble pasientdata stjålet fra Stryker?
Handala hevdet å ha stjålet 50 terabyte data fra Stryker. Selskapet opplyste at de ikke hadde bekreftede indikasjoner på faktisk datatyveri på angrepstidspunktet. FBI beslagla domenene Handala brukte til å publisere angivelig stjålet materiale. Stryker bekreftet heller ikke bruk av ransomware.
Ble pasientsikkerheten direkte truet?
Stryker bekreftet at pasientrelaterte tjenester og tilkoblede medisinske teknologier ikke ble direkte berørt av angrepet. Likevel ble planlagte kirurgiske prosedyrer utsatt uken etter angrepet på grunn av forsinkelser i forsyningskjeden for medisinsk utstyr. NHS England utstedte forsyningsvarsel.
Hvorfor brukte angriperne Microsoft Intune?
Microsoft Intune er Strykers system for administrasjon av alle bedriftsenheter. En aktør med administratortilgang kan sende slette- og konfigurasjonskommandoer til alle registrerte enheter simultant. Angriperne kompromitterte angivelig administrative legitimasjonsobjekter for å misbruke dette systemet til massesletting av data og enheter i 79 land uten å installere tradisjonell ondsinnet kode.
Hva bør norske sykehus gjøre for å beskytte seg?
Norske sykehus bør implementere zero-trust-arkitektur, gjennomføre regelmessige leverandørsikkerhetsrevisjoner og ha beredskapsplaner for forsyningsstans. NIS2-regelverket under implementering i norsk rett stiller krav til leverandørkjedesikkerhet for virksomheter i kritiske sektorer, inkludert helse. NCSC Norge publiserer anbefalinger og varsler om relevante trusler.
Hva skjedde med Handala etter angrepet?
FBI beslagla to domener brukt av Handala til å lekke data og spre psykologisk krigføring. DOJ koblet domenene til MOIS. Handala regnes fortsatt som en aktiv trusselaktør av vestlige etterretnings- og sikkerhetsmyndigheter, og gruppen vil sannsynligvis operere under ny infrastruktur fremover.
Har Norge blitt angrepet av Handala?
Det foreligger ingen offentlig informasjon om direkte Handala-angrep mot norske virksomheter per juni 2026. Gruppen har primært fokusert på israelske og amerikanske mål. Norges NATO-medlemskap og støtte til vestlig sikkerhetsarkitektur gjør norske virksomheter potensielt relevante mål for iranrelaterte aktører på sikt.
Hva koster et slikt angrep?
Stryker opplyste at angrepet ville påvirke inntektene i første kvartal 2026, men oppga ikke et konkret beløp. Aksjen falt med nær 4 prosent. For sammenligning kostet Change Healthcare-angrepet i 2024, som var et ransomware-angrep av sammenlignbar operasjonell skala, selskapet et løsepengekrav på 22 millioner dollar og totale tap på milliarder av dollar gjennom driftsstans og gjenoppbygging.
Relatert dekning
- Norden: 166 cyberhendelser i 2026, 52 prosent skyver ansvaret
- Cyberangrep mot Bremanger: 500 liter per sekund i 4 timer
- Salt Typhoon i Norge: PST bekrefter kinesisk statlig angrep
- Verizon DBIR 2026: 31 prosent av angrep starter via sårbarhet
- NIS2 i Norge: 5.000 virksomheter, 4 prosent bot ved brudd
- F5-bruddet: kildekode stjålet over 12 måneder
