Gigantul de tehnologie medicală Stryker a anunțat în această săptămână că un atac cibernetic din 11 martie a cauzat o perturbare globală a mediului său Microsoft, ștergând dispozitive ale angajaților în zeci de țări și forțând compania să oprească sistemele de comenzi, producție și livrare. Vineri, compania a declarat că se află în „faza de restaurare”, angajații din facilități din întreaga lume aducând laptopuri pentru reparații, iar sistemele nefiind încă complet operaționale.
Un atac de ștergere prin Microsoft Intune
Atacul a început în primele ore ale dimineții de 11 martie, când angajații birourilor Stryker din întreaga lume au pornit computerele și le-au găsit goale — ecranele de autentificare fiind înlocuite de logo-ul Handala, un grup de hackeri legat de Iran. Grupul și-a asumat responsabilitatea pe rețelele sociale, declarând că atacul a fost o represalie pentru o lovitură militară americană asupra unei școli din Minab, Iran, care, conform autorităților iraniene, a ucis peste 175 de persoane.
Cercetătorii în securitate cibernetică cred că atacatorii au compromis credențialele administrative pentru Microsoft Intune, platforma cloud a companiei pentru gestionarea dispozitivelor mobile, și au folosit funcționalitatea legitimă de ștergere la distanță pentru a emite comenzi de resetare la setările din fabrică pentru toate dispozitivele înrolate simultan. Tehnica nu a necesitat malware personalizat — a întors propriile instrumente de management IT ale Stryker împotriva companiei. Handala a pretins că a șters peste 200.000 de sisteme din 79 de țări și a exfiltrat 50 de terabytes de date, deși aceste afirmații nu au fost verificate independent.
Angajați din Statele Unite, Irlanda, Costa Rica și Australia au raportat că laptop-urile gestionate și dispozitivele mobile — inclusiv telefoane personale înrolate pentru e-mail corporativ — au fost șterse de la distanță peste noapte. Stryker angajează aproximativ 56.000 de persoane la nivel global și deservește furnizori de servicii medicale din 61 de țări.
Răspunsul companiei și impactul pe piață
Stryker a declarat că nu a găsit „nicio indicație de ransomware sau malware” și că este convinsă că incidentul a fost izolat în cadrul mediului său intern Microsoft. CEO-ul Kevin Lobo, într-o scrisoare către angajați publicată pe LinkedIn, a afirmat că atacul a fost „complet izolat” și că firma a intrat în faza de restabilire.
„Angajații noștri și sediile noastre sunt în siguranță. Produsele noastre și clienții noștri sunt, de asemenea, în siguranță”, a declarat Lobo, adăugând că este „încrezător că vom ieși din această situație mai puternici”.
Cu toate acestea, perturbarea a fost extinsă. Unii angajați au fost trimiși acasă, iar serverul companiei din Dublin a rămas nefuncțional până joi seara, împiedicând reluarea producției la facilitățile sale din Cork, Irlanda. Acțiunile Stryker au scăzut pe parcursul a trei sesiuni consecutive de tranzacționare după atac, The Wall Street Journal fiind primul care a raportat incidentul.
Implicații mai ample
Check Point Research a identificat Handala drept o fațadă pentru Void Manticore, un actor de amenințare iranian legat de Ministerul Informațiilor și Securității din Iran, conform cercetătorilor de la Palo Alto Networks. Grupul a vizat anterior infrastructura militară israeliană și companii aliniate cu interesele occidentale. Cercetătorii au observat că grupul avea probabil acces pre-poziționat în mediul Stryker cu săptămâni înainte de executarea ștergerii, sugerând că aceasta a fost o operațiune planificată, nu o intruziune reactivă.
Incidentul a declanșat alarme în întreaga industrie medicală cu privire la vulnerabilitatea platformelor de gestionare a dispozitivelor. „Un cont de administrator Intune compromis poate șterge întreaga flotă de dispozitive în câteva minute”, a avertizat o analiză de securitate.
Surse:
https://thecyberexpress.com/who-is-handala-hackers-in-stryker-cyberattack/
https://www.medtechdive.com/news/strykers-manufacturing-shipping-disrupted-after-cyberattack/814667/
https://7ai.com/stryker-wiper-attack-what-security-teams-need-to-know-now