Stryker-attacken: CISA kräver Intune-härdning efter att 200 000 enheter raderades
CISA uppmanar alla organisationer att härda Microsoft Intune efter att Iran-kopplade Handala raderade 200 000 enheter hos medicinteknikjätten Stryker.
Stryker-attacken: CISA kräver Intune-härdning efter att 200 000 enheter raderades
Den 11 mars 2026 raderade Iran-kopplade hacktivistgruppen Handala cirka 200 000 enheter hos medicinteknikjätten Stryker. Attacken slog ut verksamheten i 79 länder. Svenska sjukhus som använde Strykers tjänster tvingades koppla bort sig.
Så gick attacken till
Handala komprometterade ett administratörskonto i Strykers Entra ID-tenant. Därifrån skapade de ett nytt Global Administrator-konto och använde Microsoft Intune för att skicka massraderings-kommandon till alla anslutna enheter. Inga sårbarheter utnyttjades — det räckte med ett komprometterat adminkonto och standardfunktionalitet i Intune.
Det här är viktigt att förstå: Intune gjorde exakt vad det är designat för. Problemet var att fel person hade tillgång.
Varför svenska SMF bör agera nu
CISA gav ut nödvägledning den 18 mars med tre konkreta krav:
- Minsta behörighet för adminroller — använd Intunes rollbaserade åtkomstkontroll (RBAC) istället för Global Administrator
- Dubbelt godkännande för destruktiva åtgärder — wipe och retire ska kräva en andra admins bekräftelse
- Nätfiskesäker MFA på alla adminkonton —
FIDO2-nycklar ellerPasskeys, inte SMS
CERT-SE tog upp attacken i veckobrev v.12. Ericsson drabbades också av ett relaterat dataintrång som påverkade 15 000+ anställda. Medvetenheten i Sverige är hög just nu.
Vad du bör göra
Kontrollera hur många Global Administrator-konton som finns i er Entra ID-tenant. Om svaret är fler än två aktiva konton har ni för många. Aktivera Privileged Identity Management (PIM) så att adminrättigheter bara är aktiva när de faktiskt behövs.
Granska era Intune-policies: kan en enskild admin fjärradera alla enheter utan godkännande? Om ja — åtgärda det den här veckan.
Se till att alla adminkonton har nätfiskesäker MFA. SMS-koder räcker inte längre.
Så kan vi hjälpa
Vi erbjuder en Intune Security Health Check (halvdagsgenomgång) där vi granskar adminroller, wipe-policyer, Conditional Access och PIM-konfiguration. Vi kan också köra en snabb adminkontoaudit på 2 timmar per tenant.
Vill du att vi kollar er miljö? Kontakta oss.