Сложная кибератака на лидера в области медицинских технологий, компанию Stryker, привела к удаленному удалению данных с десятков тысяч корпоративных устройств. Вопреки первоначальным опасениям, инцидент не был атакой программ-вымогателей, и злоумышленники не развертывали какое-либо традиционное вредоносное ПО. Вместо этого атакующие использовали легитимные административные инструменты во внутренней среде Microsoft компании Stryker. Согласно обновлению от компании, атака была ограничена ее корпоративной ИТ-инфраструктурой, и все медицинские устройства Stryker остаются безопасными для клинического использования. Однако критически важные бизнес-системы, включая платформы электронного заказа, остаются отключенными, что вынуждает клиентов размещать заказы вручную через торговых представителей.
Атака, ответственность за которую взяла на себя хактивистская группа Handala, которая, как полагают, связана с Ираном, предположительно использовала Microsoft Intune, облачный сервис управления конечными точками. Источник, знакомый с расследованием, сообщил BleepingComputer, что злоумышленник выполнил команду удаления данных через Intune, стерев информацию примерно с 80 000 устройств в течение концентрированного трехчасового окна. Атакующие хвастались компрометацией более 200 000 систем и извлечением 50 терабайт данных, но судебные эксперты не обнаружили доказательств фактической кражи данных, что позволяет предположить, что основное воздействие было разрушительным, а не направленным на извлечение данных.
Последствия удаления данных немедленно ощутили глобальные сотрудники Stryker. Сотрудники в нескольких странах сообщили, что их корпоративные ноутбуки и мобильные устройства были удаленно сброшены к заводским настройкам за ночь. В более инвазивном повороте некоторые сотрудники, которые зарегистрировали личные устройства в системе управления мобильными устройствами (MDM) компании, также потеряли личные данные, что подчеркивает риски политик «Принеси свое собственное устройство» (BYOD) при компрометации корпоративной безопасности. Этот аспект подчеркивает значительное операционное и личное воздействие атаки, выходящее за рамки потери корпоративных данных.
Этот инцидент служит критическим примером современных киберугроз, когда злоумышленники все чаще злоупотребляют легитимными административными инструментами и облачными сервисами для нанесения ущерба. Использование Intune для массового удаления данных демонстрирует технику «существования за счет земли», что затрудняет обнаружение, поскольку активность смешивается с обычными административными действиями. В ответ организации призывают применять строгий контроль доступа, многофакторную аутентификацию (MFA) на всех административных консолях и тщательную сегментацию критически важных систем. В то время как Stryker работает над восстановлением своей внутренней ИТ-среды вручную, сообщество кибербезопасности анализирует событие, чтобы усилить защиту от аналогичного злоупотребления облачными административными инструментами.
