Neem contact op
Neem contact op
Actueel / Wereldwijde Zorgontwrichting: De Stryker-Wiper-Aanval en wat te doen?
Blog & Events

De Stryker Wiper Aanval en wat te doen?

13 maart 2026

Waarom Nederlandse (zorg)instellingen nu direct moeten handelen.

Op 11 maart werd de medische tech-gigant Stryker getroffen door een massale cyberaanval. De gevolgen zijn wereldwijd voelbaar: interne Microsoft-omgevingen raakten ontregeld en Windows-apparaten (laptops en telefoons) werden op afstand gewist. De Iraans-gelinkte groep Handala claimt de aanval en zegt 50 TB aan data te hebben buitgemaakt.

Hoewel de exacte methode niet is bevestigd, wijzen alle sporen naar misbruik van Microsoft Intune en Entra ID. Dit incident bewijst: aanvallers hebben geen ransomware meer nodig om een organisatie lam te leggen; toegang tot de beheerlaag is voldoende.

De impact op de Nederlandse zorgketen

Stryker is de ruggengraat van veel moderne ziekenhuizen. Van operatiekamers en IC’s tot de spoedeisende hulp: overal wordt vertrouwd op hun apparatuur en support.

Hoewel de Nederlandse patiëntenzorg op dit moment nog niet direct is geraakt, is de situatie kritiek:

  • Logistieke blokkade: Het Europese distributiecentrum in Venlo heeft momenteel geen toegang tot bepaalde systemen. De levering van cruciale medische producten is hierdoor onzeker.
  • Ketenrisico: Een hack bij een leverancier is een hack bij een ziekenhuis. Zorg-cybersecurity is keten-cybersecurity.
  • Monitoring: Z-CERT adviseert instellingen om alle aan Stryker gekoppelde systemen extra scherp te monitoren.

Belangrijkste adviezen van Pinewood

De ‘Stryker-wipe’ laat zien dat toegang met administratorrechten (zoals Global Admin) fataal is. Wij adviseren Nederlandse organisaties om direct de volgende stappen te nemen:

  1. Audit uw beheerrollen onmiddellijk

Ga ervan uit dat beheerrollen gecompromitteerd kunnen zijn. Controleer met hoge prioriteit:

  • Conditional Access-beleid: Zijn er onverklaarbare wijzigingen?
  • Intune & Entra ID: Controleer apparaat-acties, roltoewijzingen en app-registraties.
  • Logging: Stuur alle auditlogs zoals Intune en Entra-ID naar een SIEM voor 24/7 monitoring.
  • Compliance‑ en app‑protectiebeleid 
  1. Beveilig beheeraccounts (Foutloos)

EĂ©n gecompromitteerde Global Admin kan de hele organisatie wissen.

  • Gebruik overal Phishing-resistant MFA.
  • Implementeer PIM (Privileged Identity Management) voor ‘just-in-time’ toegang.
  • Implementeer Strikt gecontroleerde break‑glass accounts 
  • Beheer systemen nooit vanaf onbeheerde (unmanaged) apparaten.
  1. Handhaaf strikt ‘Least Privilege’

Beperk de cirkel van mensen die gevoelige wijzigingen mogen doorvoeren.

  • Verwijder verouderde rollen.
  • Beperk de cirkel van mensen die gevoelige wijzigingen mogen doorvoeren.
  • Gebruik Protected Actions voor kritieke aanpassingen in de configuratie.
  • Beperk wie Intune device actions mag uitvoeren 
  • Controleer wie service principals en app‑registraties mag maken 
  1. Oefen crisisscenario’s (Beyond Ransomware)

Stryker had continuĂŻteitsplannen, maar de verstoring is alsnog wereldwijd. Oefen specifiek op:

  • Tenant-lockout: Wat als beheerders zelf niet meer kunnen inloggen?
  • Out-of-band communicatie: Hoe communiceert u als Microsoft Teams/Outlook platligt?
  • Handmatige herstelprocessen: Hoe herbouwt u duizenden gewiste apparaten tegelijk?

Belangrijkste Conclusie: > Het overnemen van de identity- en endpoint-managementlaag is de nieuwe frontlinie. Als deze laag valt, mag de patiëntenzorg dat niet doen. Neem cybersecurity serieuzer dan ooit.

Wilt u weten of uw Microsoft-omgeving optimaal is beschermd tegen dit type aanvallen? Neem contact op met Pinewood voor een security audit of advies.

Siddharth Jethwani

Security Analist

015 251 36 36

info@pinewood.nl

Actueel / Phishing-waarschuwing: Schadelijke E-mailcampagne
Blog & Events

Phishing-waarschuwing: Schadelijke E-mailcampagne

27 januari 2026

Auteur: Siddharth Jethwani, Security Analist

Tijdens een recente advanced threat-huntingoperatie ontdekte het Pinewood Security Operations Center een nieuwe phishingcampagne die rondgaat binnen bedrijven in de voedingsproductie- en transportsector. Hoewel de e-mail op het eerste gezicht legitiem lijkt, onthult een nadere blik meerdere klassieke rode vlaggen Ă©n een slim vermomde poging tot het stelen van inloggegevens.

Wat hebben we gevonden?

De phishingpoging komt binnen als een e-mail die lijkt te gaan over het delen van een document. Dit viel direct op:

  • Afzenderadres: xxxx@xxxx.com (anoniem gemaakt)
  • Weergavenaam afzender: Doc Portal
  • Onderwerpregel: Een combinatie van de bedrijfsnaam + “Document.pdf” + drie willekeurige karakters (bijv. Pinewood Document.pdf JiT)
  • Kwaadaardige URL:
    o Voorbeeld: https://companyname[.]cubiertasnfumbe[.]com/ext
    o Bijvoorbeeld: https://pinewood.cubiertasnfumbe[.]com/ogfVmrrii9

De mismatch tussen het e-mailadres van de afzender en de getoonde naam is op zichzelf al verdacht. Maar het echte gevaar begint zodra een slachtoffer op de link klikt. Tot nu toe zijn twee verschillende tactieken waargenomen.

Tactiek 1
Wanneer de ontvanger de URL opent, komen ze terecht op een schijnbaar onschuldige webpagina waarop staat dat het account is suspened en dat ze contact moet opnemen met hun hosting provider:

account suspended

Als de gebruiker vervolgens op “contact your hosting provider” klikt, worden ze doorgestuurd naar een pagina die zorgvuldig is nagemaakt om te lijken op een legitiem Outlook-inlogscherm:

outlook phishing

Deze pagina is ontworpen om gebruikers hun Microsoft-inloggegevens te ontfutselen.

Tactiek 2
Wanneer de gebruiker op de phishinglink in de e-mail klikt, komen ze op de volgende pagina terecht:

microsoft sharepoint phishing

Deze pagina lijkt sterk op een legitieme SharePoint-omgeving. Gebruikers worden gevraagd hun inloggegevens in te voeren.
Zodra zij dit doen en klikken op “continue with Microsoft SharePoint”, worden ze doorgestuurd naar een PWP-presentatie:

sharepoint online phishing

Ook hier worden gebruikers in een vals gevoel van veiligheid gelokt. Beide tactieken leiden uiteindelijk tot hetzelfde doel: het stelen van login-gegevens die onmiddellijk in handen van de aanvallers komen.
Een enkele klik kan voldoende zijn om de mailbox van een medewerker te compromitteren, gevoelige bedrijfsinformatie bloot te leggen of aanvallers toegang te geven tot bredere bedrijfsomgevingen.

Hoe Blijf Je Veilig?

Om jouw organisatie te beschermen, raden we het volgende aan:

  • Blokkeer of onderdruk e-mails van vera.indino@realigro.com via je threat-intelligence- of e-mailbeveiligingstools.
  • Herinner medewerkers eraan alert te blijven op afwijkende afzendernamen, onverwachte documentverzoeken en URL’s die niet overeenkomen met bekende bedrijfsdomeinen.
  • Moedig medewerkers aan verdachte e-mails te melden bij het securityteam in plaats van erop te klikken.
  • Sluit je aan op het Pinewood Security Operations Center (SOC).

Phishingcampagnes zoals deze worden steeds geavanceerder, maar met bewustzijn en sterke detectiemaatregelen kan een organisatie een stap voor blijven.
Blijf waakzaam!

Siddharth Jethwani

Security Analist

015 251 36 36

info@pinewood.nl

Contact
  • Delftechpark 35,
    2628 XJ Delft
  • 015 251 36 36
  • info@pinewood.nl
Social

© 2026 Pinewood