Atacul Stryker a șters zeci de mii de dispozitive, fără necesitatea malware-ului
Atacul cibernetic de săptămâna trecută asupra gigantului tehnologic din domeniul medical Stryker a fost limitat la mediul intern Microsoft și a șters de la distanță zeci de mii de dispozitive ale angajaților. Organizația a declarat duminică într-o actualizare că toate dispozitivele medicale sunt sigure pentru utilizare, dar sistemele electronice de comandă rămân offline, iar clienții trebuie să plaseze comenzile manual prin intermediul reprezentanților de vânzări, conform bleepingcomputer.com.
Stryker subliniază că incidentul nu a fost un atac de tip ransomware și că actorul amenințării nu a implementat malware pe sistemele sale. Săptămâna trecută, Stryker a fost ținta unui atac cibernetic revendicat de grupul de hackeri Handala, despre care se crede că este legat de Iran. Atacatorul a susținut că a șters „peste 200.000 de sisteme, servere și dispozitive mobile” și a furat 50 de terabytes de date. Cu toate acestea, investigatorii nu au găsit nicio dovadă că datele au fost exfiltrate.
👉 Detalii despre modul în care a fost realizat atacul
În urma disfuncției, angajații Stryker din mai multe țări au început să se plângă că dispozitivele lor gestionate au fost șterse de la distanță peste noapte. Unii angajați aveau dispozitive personale înscrise în rețeaua companiei și au pierdut date personale în timpul procesului de ștergere. O sursă familiarizată cu atacul a declarat pentru BleepingComputer că actorul amenințării a folosit comanda de ștergere în Intune, serviciul Microsoft de gestionare a punctelor finale în cloud, pentru a șterge datele de pe aproape 80.000 de dispozitive între orele 5:00 și 8:00 UTC pe 11 martie. Atacatorul a efectuat acțiunea după ce a compromis un cont de administrator și a creat un nou cont de Administrator Global.
👉 Stadiul actual al investigației și eforturile de recuperare
Investigația este condusă de echipa Microsoft Detection and Response Team (DART) în colaborare cu experți în cybersecurity de la Palo Alto Unit 42. Actualizarea Stryker subliniază că atacul nu a afectat niciunul dintre produsele sale, fie ele conectate sau nu, și a fost limitat exclusiv la mediul corporativ intern Microsoft. „Toate produsele Stryker din portofoliul nostru global, inclusiv tehnologiile conectate, digitale și salvatoare de vieți, rămân sigure pentru utilizare”, spune compania.
Eforturile de restaurare sunt în prezent în curs, principala prioritate fiind reluarea serviciilor de expediere și tranzacționare. Clienții sunt încurajați să mențină o comunicare normală cu personalul companiei în timp ce infrastructura este restabilită treptat. Orice comandă plasată înainte de atacul cibernetic va fi respectată pe măsură ce sistemele sunt restaurate, în timp ce cele plasate în timpul disfuncției vor fi procesate atunci când sistemele vor fi din nou online, iar fluxul de aprovizionare va reveni la normal.
Compania colaborează cu site-urile sale de producție globale pentru a face față posibilelor impacturi operaționale. Prioritatea actuală a Stryker este să restaureze sistemul de aprovizionare și să reia comenzile și expedierea clienților. „Sistemele noastre tranzacționale de bază sunt deja pe un drum clar către recuperarea totală”, afirmă compania.