Крупный инцидент кибербезопасности в сфере медицинских технологий затронул один из ведущих мировых медтех-производителей Stryker. В результате атаки злоумышленники удаленно стерли данные примерно с 80 000 устройств, использовав корпоративный сервис управления устройствами Microsoft Intune и не прибегая к классическим вредоносным программам или шифровальщикам.
Ключевые детали инцидента: от компрометации до массовой очистки
По данным Stryker и источников, знакомых с ходом расследования, атакующие сначала скомпрометировали учетную запись администратора в среде Microsoft. Затем был создан новый аккаунт с правами Global Administrator, что фактически открыло злоумышленникам полный доступ к управлению инфраструктурой Microsoft 365 и Intune.
Используя этот доступ, нападавшие инициировали через Microsoft Intune массовую команду удаленной очистки (remote wipe), в результате которой были стерты данные примерно на 80 000 конечных устройств. Атака пришлась на утро 11 марта 2026 года, в промежутке между 5:00 и 8:00 по UTC.
Под удар попали не только корпоративные компьютеры и мобильные устройства, но и личные девайсы сотрудников, подключенные к корпоративной инфраструктуре и управляемые через Intune в рамках политик BYOD (bring your own device).
Заявления группировки Handala и результаты расследования
Связанная с Ираном хактивистская группировка Handala ранее утверждала, что уничтожила данные более чем на 200 000 устройств Stryker и похитила около 50 ТБ конфиденциальной информации. Однако проведенный анализ показал иную картину.
По информации, опубликованной Stryker, а также по данным расследования, проведенного при участии Microsoft Detection and Response Team (DART) и специалистов Palo Alto Unit 42, не выявлено признаков:
- шифрования данных или развертывания классического малвари;
- активности программ-вымогателей;
- подтвержденной эксфильтрации данных, заявленной Handala.
Компания отдельно подчеркивает, что инцидент не затронул медицинские устройства Stryker. Речь идет исключительно о внутренней Microsoft-инфраструктуре, а медицинское оборудование остается безопасным для использования в лечебных учреждениях.
Влияние на бизнес-процессы и восстановление
Нарушение внутренних операций и цепочек поставок
Массовое удаление данных на рабочих станциях и мобильных устройствах негативно сказалось на внутренних операциях Stryker. Приоритетом компании стало восстановление:
- систем обработки заказов;
- цепочек поставок;
- процессов отгрузки продукции клиентам.
В Stryker заявили, что все заказы, оформленные до и во время атаки, будут выполнены после полного восстановления инфраструктуры. Это критически важно для медицинского сектора, где задержки поставок напрямую влияют на доступность медицинской помощи.
Реакция правоохранительных органов: домены Handala под контролем ФБР
На фоне атаки ФБР предприняло действия против инфраструктуры группировки Handala. Были конфискованы два домена, использовавшиеся злоумышленниками: handala-redwanted[.]to и handala-hack[.]to. Сейчас на них отображается уведомление об изъятии на основании ордера Окружного суда штата Мэриленд.
DNS-серверы этих доменов перенастроены на ns1.fbi.seized.gov и ns2.fbi.seized.gov. В официальных материалах указано, что доменные имена применялись для «вредоносной киберактивности в интересах иностранного государства». При этом пока не раскрывается, получил ли регулятор доступ к содержимому серверов и журналам активности.
Участники Handala подтвердили факт изъятия сайтов в своем Telegram-канале и заявили о намерении построить более устойчивую инфраструктуру для дальнейшей деятельности, что указывает на сохраняющуюся угрозу.
Что показывает атака на Stryker: уязвимость MDM и управляемых доменов
Инцидент демонстрирует, что компрометация административной учетной записи в облачной экосистеме Microsoft может привести к разрушительным последствиям даже без разворачивания малвари. Инструменты управления конечными точками, такие как Microsoft Intune, при захвате злоумышленниками превращаются в мощный канал для:
- массового удаления или модификации данных;
- отключения систем безопасности;
- быстрого распространения вредоносных политик по всей организации.
После атаки Microsoft и CISA выпустили рекомендации по усилению защиты Windows-доменов и Microsoft Intune. Среди типичных мер, актуальных для большинства организаций, можно выделить:
- жесткую защиту привилегированных учетных записей (MFA, отдельные устройства, запрет повседневной работы под админ-аккаунтами);
- минимизацию числа Global Administrator и регулярный аудит их активностей;
- разделение управления корпоративными и личными устройствами, продуманную политику BYOD;
- ограничение критических операций в Intune (например, массовый remote wipe) дополнительными уровнями одобрения и мониторинга;
- внедрение принципа zero trust и постоянного мониторинга аномалий в облачных средах.
История с Stryker наглядно показывает, что даже компании из высокорегулируемых отраслей с развитой ИТ-инфраструктурой остаются уязвимыми при недооценке рисков, связанных с облачными сервисами управления устройствами и доступом. Пересмотр стратегий защиты Microsoft Intune, Windows-доменов и привилегированных аккаунтов, регулярное тестирование инцидент-реакции и повышение осведомленности сотрудников о рисках учетных данных сегодня становятся обязательными шагами для всех организаций, стремящихся снизить вероятность подобных атак и их последствий.
