Den 11. mars 2026 begynte datamaskiner hos Stryker Corporation \u00e5 slette seg selv. I l\u00f8pet av timer var over 200.000 enheter lammet p\u00e5 tvers av 79 land, produksjonslinjene stanset og medisinsk utstyr til sykehus over hele verden ble forsinket. Bak angrepet sto Handala, en hackergruppe med direkte tilknytning til Irans etterretningsministerium (MOIS). Det var ikke ransomware, og ingen krav om l\u00f8sepenger. M\u00e5let var destruksjon, frykt og kaos. Det tok 23 dager fra angrepet startet til Stryker gjenopprettet full produksjonsdrift 3. april 2026. For norske og nordiske sykehus som er avhengige av Strykers ortopediske og kirurgiske utstyr daglig, er dette en vekker om s\u00e5rbarheten i global medisinsk forsyningskjede.<\/p>\n\n\n\n
Angrepet begynte 11. mars 2026. Stryker-ansatte over hele verden oppdaget at arbeidsdatamaskinene oppf\u00f8rte seg merkelig, og kort tid etter var tusenvis av enheter ute av drift. I l\u00f8pet av de neste 72 timene ble det klart at dette var et koordinert angrep av en helt annen kaliber enn de vanlige ransomware-angrepene helsesektoren hadde forberedt seg p\u00e5.<\/p>\n\n\n\n
Handala, gruppen som tok ansvar for angrepet, hevdet \u00e5 ha slettet over 200.000 systemer, servere og mobile enheter. En annen kilde fra sikkerhetsmilj\u00f8et oppga at rundt 80.000 Windows-enheter ble fullstendig t\u00f8mt. Palo Alto Networks ble raskt koblet inn for \u00e5 bist\u00e5 med etterforskning og skadevurdering. Innen 15. mars hadde Stryker klart \u00e5 inneholde angrepet, fire dager etter det startet. Gjenopprettingen tok langt lengre tid. F\u00f8rst 3. april 2026, 23 dager etter det f\u00f8rste angrepet, erkl\u00e6rte Stryker seg fullt operasjonell igjen.<\/p>\n\n\n\n
Handala hevdet i tillegg \u00e5 ha stj\u00e5let 50 terabyte data fra selskapet. Stryker bekreftet at de ikke hadde bekreftede indikasjoner p\u00e5 at data faktisk var stj\u00e5let p\u00e5 angrepstidspunktet. Selskapet inngav en SEC-rapport om hendelsen i tr\u00e5d med rapporteringskravene fra den amerikanske b\u00f8rs- og verdipapirkommisjonen. Strykers aksje falt med n\u00e6rmere 4 prosent i kj\u00f8lvannet av nyheten.<\/p>\n\n\n\n
Handala er ikke en ordin\u00e6r kriminell hackergruppe. If\u00f8lge det amerikanske justisdepartementet (DOJ) er Handala en fiktiv hacktivist-persona brukt av MOIS, Irans etterretningsministerium, for \u00e5 gjennomf\u00f8re destruktive angrep og psykologiske operasjoner mot vestlige og israelske m\u00e5l. Gruppenavnet er en referanse til den palestinske symbolfiguren Handala, noe som gir angrepene et tilsynelatende pro-palestinsk motiv som fungerer som et skalkeskjul for statlig styrt sabotasje.<\/p>\n\n\n\n
Recorded Futures Insikt-gruppe, ett av verdens ledende trusselanalyseselskaper, beskriver Handala som “det viktigste ansiktet for iransk statsst\u00f8ttet hacktivist-aktivitet.” Metodikken kombinerer destruktive angrep med offentliggj\u00f8ring av stj\u00e5let data for \u00e5 maksimere psykologisk skade. Gruppen angriper, stjeler data, \u00f8delegger systemer og lekker materiale offentlig, alt under dekke av \u00e5 v\u00e6re uavhengige frihetskjempere.<\/p>\n\n\n\n
Handala har tidligere st\u00e5tt bak en lekkasje av medisinske journaler fra over 10.000 pasienter etter et p\u00e5st\u00e5tt angrep mot den israelske helseorganisasjonen Clalit Health Services. I 2025 gjennomf\u00f8rte gruppen en hack-og-lekkasje-kampanje rettet mot journalister i Iran International, der de offentliggjorde offisielle ID-dokumenter og annet sensitivt materiale. Stryker-angrepet representerer en betydelig eskalering, b\u00e5de i omfang og i konsekvensene for pasienter utenfor den direkte konfliktsonen mellom Iran og Israel.<\/p>\n\n\n\n
DOJ koblet Handala-domenene til iranske IP-adresser, delte lekkasjesider og et felles operasjonelt m\u00f8nster med kjente MOIS-operasjoner. FBI gjennomf\u00f8rte deretter beslag av domener brukt til \u00e5 publisere stj\u00e5let data og spre Handala-gruppens psykologiske budskap. Det er f\u00f8rste gang en stor FBI-aksjon er direkte koblet til beskyttelse av medisinsk forsyningskjede mot iransk statsst\u00f8ttet aktivitet.<\/p>\n\n\n\n
Det som skiller Stryker-angrepet fra de fleste andre store cyberangrep er den tekniske tiln\u00e6rmingen. Angriperne brukte ikke et tradisjonelt ondsinnet program. I stedet kompromitterte de angivelig administrative legitimasjonsobjekter i Strykers Microsoft Intune-milj\u00f8, selskapets plattform for administrasjon av alle bedriftsenheter (MDM, Mobile Device Management).<\/p>\n\n\n\n
Microsoft Intune brukes av tusenvis av globale selskaper til \u00e5 administrere, konfigurere og oppdatere alle registrerte b\u00e6rbare datamaskiner, stasjon\u00e6re maskiner og mobiltelefoner. En administrator med tilgang til Intune kan sende kommandoer til alle registrerte enheter simultant, inkludert kommandoer for \u00e5 slette all data. Det er n\u00f8yaktig dette angriperne utnyttet seg av.<\/p>\n\n\n\n
If\u00f8lge Palo Alto Networks, som bistod Stryker i etterforskningen, ble en ondsinnet fil brukt til \u00e5 kj\u00f8re kommandoer og skjule aktivitet. Filen var imidlertid ikke i stand til \u00e5 spre seg av seg selv innenfor eller utenfor Strykers nettverk. Angrepet var med andre ord avhengig av at angriperne allerede hadde privilegert tilgang til administrasjonsmilj\u00f8et. Den sannsynlige inngangsveien var kompromitterte administrative legitimasjonsobjekter i Strykers Microsoft Entra ID-milj\u00f8.<\/p>\n\n\n\n
Palo Alto Networks Unit 42 understreker i sin analyse av iranske cyberoperasjoner at Handala “er den mest fremtredende iranske hacktivistprofilen og bruker destruktive og psykologiske taktikker for \u00e5 formidle politiske budskap.” Bruken av legitime administrasjonsverkt\u00f8y gj\u00f8r slike angrep vanskeligere \u00e5 oppdage med tradisjonelle sikkerhetsverkt\u00f8y som er konfigurert for \u00e5 flagge kjent ondsinnet kode, ikke legitime systemkommandoer fra administrative kontoer.<\/p>\n\n\n\n
Dette angrepsm\u00f8nsteret tilh\u00f8rer kategorien “living off the land” (LotL), der angripere bruker verkt\u00f8y og funksjoner som allerede finnes i offerets eget milj\u00f8, i stedet for \u00e5 installere ny programvare. Det gj\u00f8r deteksjon langt vanskeligere og gjenoppretting mer tidkrevende, fordi virksomheten ikke bare trenger \u00e5 fjerne ondsinnet kode, men \u00e5 gjenoppbygge tillit til hele administrasjonsinfrastrukturen.<\/p>\n\n\n\n
Stryker Corporation opererer i over 79 land med over 50.000 ansatte globalt. Angrepet rammet if\u00f8lge tilgjengelige rapporter kontorer i alle disse landene. Handala hevdet \u00e5 ha slettet over 200.000 systemer, servere og mobile enheter. En rapport fra sikkerhetsmilj\u00f8et antyder at minst 80.000 Windows-enheter ble fullstendig t\u00f8mt for all data.<\/p>\n\n\n\n
For \u00e5 illustrere omfanget: et gjennomsnittlig stort norsk statlig departement har gjerne mellom 1.000 og 5.000 enheter i sin IT-infrastruktur. Et slikt angrep p\u00e5 Strykers skala tilsvarer at alle datamaskiner i samtlige norske departementer og de fleste statlige etater ble slettet simultant, multiplisert med tre til fire ganger i volum. Dette er ikke bare en IT-katastrofe, men en operasjonell lamming av en global medisinsk leverand\u00f8rkjede.<\/p>\n\n\n\n
Strykers aksjefall p\u00e5 rundt 4 prosent den dagen nyheten ble kjent, reflekterer at finansmarkedene raskt priset inn usikkerhet om operasjonell kapasitet, potensielt tapt inntekt under nedetiden og fremtidige kostnader knyttet til gjenoppbygging av IT-infrastruktur. Selskapet opplyste at angrepet ville p\u00e5virke inntektene i f\u00f8rste kvartal 2026, men oppga ikke et konkret bel\u00f8p.<\/p>\n\n\n\n
Det som gj\u00f8r Stryker-angrepet spesielt alvorlig er ikke bare omfanget av IT-infrastrukturen som ble lammet, men de direkte konsekvensene for pasienter. Stryker produserer ortopedisk utstyr, proteser for hofter og kn\u00e6r, kirurgiske instrumenter, nevrokirurgisk utstyr og medisinsk bildediagnostikk som brukes i millioner av operasjoner hvert \u00e5r. Da produksjon, bestillingssystemer og distribusjon ble stanset, sto sykehus som ventet p\u00e5 kritisk utstyr uten leveranser.<\/p>\n\n\n\n
If\u00f8lge rapportering fra bransjenettverket Cybersecurity Dive ble prosedyrer planlagt i uken fra 16. mars 2026 utsatt p\u00e5 grunn av forsinkelser i forsyningskjeden. NHS England utstedte et forsyningsvarsel for NHS-enheter som bruker Strykers utstyr, men bemerket at det ikke var kjente indikasjoner p\u00e5 en p\u00e5g\u00e5ende trussel mot NHS sine egne systemer som f\u00f8lge av angrepet.<\/p>\n\n\n\n
For Stryker, som produserer alt fra hofteproteser til avansert nevrokirurgisk utstyr, er det ikke mulig \u00e5 bytte til et alternativt produkt med kort varsel. Sykehus er bundet av godkjente leverand\u00f8rkjeder, og kirurger er spesialtrent p\u00e5 spesifikt utstyr fra bestemte produsenter. En forsyningsstopp p\u00e5 \u00e9n til to uker kan bety at planlagte operasjoner for hundrevis av pasienter m\u00e5 skyves ut i tid, noe som \u00f8ker ventelister og kan forsinke n\u00f8dvendig behandling for pasienter med ortopediske lidelser.<\/p>\n\n\n\n
World Health Organization (WHO) har dokumentert<\/a> at helsesektoren er den sektoren der cyberangrep oftest har direkte innvirkning p\u00e5 pasientbehandling. Stryker-hendelsen er et presist eksempel p\u00e5 det WHO kaller “nedstr\u00f8ms pasientp\u00e5virkning,” der et angrep mot en leverand\u00f8r rammer pasienter ved sykehus som ikke selv er angrepet.<\/p>\n\n\n\n Stryker reagerte raskt p\u00e5 angrepet. Selskapet stengte det elektroniske bestillingssystemet som et sikkerhetstiltak, og Palo Alto Networks ble koblet inn som etterforsker og r\u00e5dgiver. Innen 15. mars, fire dager etter angrepet startet, hadde selskapet klart \u00e5 inneholde hendelsen. Dette er imponerende tatt i betraktning omfanget av infrastrukturen som ble rammet, og illustrerer viktigheten av forh\u00e5ndsavtalte kontrakter med ledende sikkerhetsleverand\u00f8rer i en kriseberedskapsplan.<\/p>\n\n\n\n Stryker kommuniserte tydelig overfor kunder, sykehus og myndigheter at pasientrelaterte tjenester og tilkoblede medisinske produkter ikke ble ber\u00f8rt av angrepet. “Tilkoblede medisinske teknologier forblir trygge \u00e5 bruke,” var selskapets offisielle uttalelse. Denne kommunikasjonen var kritisk for \u00e5 forhindre at sykehus iverksatte un\u00f8dvendige kriseprosedyrer eller sluttet \u00e5 bruke medisinsk utstyr som faktisk var trygt i bruk.<\/p>\n\n\n\n Gjenopprettingsprosessen var likevel tidkrevende. Fra inneholdelse 15. mars til full operasjonell drift 3. april tok det 19 ytterligere dager. I denne perioden arbeidet Stryker med \u00e5 gjenoppbygge kompromittert infrastruktur, verifisere dataintegritet og implementere styrket sikkerhet. Selskapet fant ingen bekreftede bevis p\u00e5 bruk av ransomware, og heller ikke at ondsinnet kode ble installert i tradisjonell forstand. Angriperne brukte systemets egne verkt\u00f8y mot selskapet.<\/p>\n\n\n\n Den amerikanske f\u00f8derale politimyndigheten FBI gjennomf\u00f8rte beslag av to domener Handala brukte til \u00e5 lekke stj\u00e5let data og spre psykologisk krigf\u00f8ring. Beslaget markerte en sjelden, men viktig offentlig respons fra amerikanske myndigheter mot iransk statsst\u00f8ttet hacking rettet direkte mot helsesektoren.<\/p>\n\n\n\n DOJ koblet Handala-infrastrukturen til MOIS gjennom analyse av iranske IP-adresser, felles operasjonelle m\u00f8nstre med kjente MOIS-operasjoner og delt lekkasjeinfrastruktur. “Handala-domenene ble brukt i et felles operasjonelt verkt\u00f8ysett som inkluderte destruktive og forstyrrende angrep, samt falske hacktivist-psykologiske operasjoner,” het det i DOJs vurdering av de beslagte domenene.<\/p>\n\n\n\n SEC-rapporteringen fra Stryker er et direkte resultat av regler innf\u00f8rt av den amerikanske b\u00f8rs- og verdipapirkommisjonen i 2023, som krever at b\u00f8rsnoterte selskaper rapporterer vesentlige cybersikkerhetshendelser innen fire arbeidsdager. Stryker fulgte regelverket. Dette gir investorer og partnere tidlig informasjon, men betyr ogs\u00e5 at sensitiv informasjon om en p\u00e5g\u00e5ende hendelse kan bli offentlig tilgjengelig mens situasjonen fortsatt er aktiv.<\/p>\n\n\n\nStryker aktiverer kriseberedskap<\/h2>\n\n\n\n
FBI tar grep: domener beslaglagt og SEC-rapportering<\/h2>\n\n\n\n
Kronologi for Stryker-angrepet mars 2026<\/h2>\n\n\n\n