Інцидент з кібербезпеки, що стався в одного з провідних світових виробників медичної техніки Stryker, показав, наскільки руйнівними можуть бути атаки, спрямовані не на класичне шкідливе ПЗ, а на сервіси керування інфраструктурою. Зловмисники отримали контроль над Microsoft Intune і ініціювали масове дистанційне видалення даних приблизно з 80 000 пристроїв, не використовуючи шифрувальники чи трояни.
Як відбулася атака на Stryker: злам Microsoft 365 та Microsoft Intune
За даними Stryker та фахівців, залучених до розслідування, атака розпочалася з компрометації адміністративного облікового запису в хмарному середовищі Microsoft. Після отримання доступу зловмисники створили новий акаунт із правами Global Administrator, що фактично надало їм повний контроль над екосистемою Microsoft 365 та сервісом MDM/MEM Microsoft Intune.
Маючи такі привілеї, атакувальники запустили через Intune масову команду remote wipe – дистанційного очищення пристроїв. У період між 5:00 і 8:00 за UTC 11 березня 2026 року на близько 80 000 кінцевих точках було стерто локальні дані та конфігурації.
Під удар потрапили як корпоративні робочі станції та мобільні пристрої, так і особисті гаджети співробітників, підключені до корпоративної інфраструктури в межах політик BYOD (bring your own device). Це підсвітило один з головних ризиків BYOD: компрометація MDM-платформи миттєво впливає не лише на бізнес-активи, а й на приватні дані працівників.
Handala, заяви про злам і фактичні висновки розслідування
Хактивістське угруповання Handala, яке пов’язують з Іраном, взяло на себе відповідальність за інцидент. У своїх заявах воно стверджувало, що знищило інформацію більш ніж на 200 000 пристроїв та викрало близько 50 ТБ конфіденційних даних Stryker.
Проте результати розслідування, проведеного спільно з Microsoft Detection and Response Team (DART) та експертами Palo Alto Unit 42, не підтвердили ці твердження. Зокрема, не було виявлено ознак:
- розгортання класичних шкідливих програм чи шифрувальників;
- активності програм-вимагачів;
- підтвердженої ексфільтрації даних, про яку заявляло групування Handala.
Окремо підкреслюється, що медичні прилади Stryker інцидент не зачепив. Постраждала лише внутрішня Microsoft-інфраструктура компанії, тоді як медичне обладнання залишилося придатним та безпечним для використання в лікувальних закладах. Це критичний момент для довіри пацієнтів і медичних установ до кібербезпеки в медичному секторі.
Вплив кібератаки на бізнес-процеси та постачання медичного обладнання
Масове видалення даних на робочих станціях і мобільних пристроях суттєво вплинуло на внутрішні бізнес-процеси Stryker. У перші дні після атаки основні зусилля були спрямовані на відновлення:
- систем обробки замовлень клієнтів;
- ланцюгів постачання;
- процесів відвантаження продукції лікарням та дистриб’юторам.
Компанія запевнила, що усі замовлення, оформлені до та під час інциденту, будуть виконані після відновлення ІТ-інфраструктури. Для медичної галузі, де затримка постачання може напряму впливати на доступність операцій та лікування, це питання має першочергове значення.
Дії правоохоронців: домени Handala під контролем ФБР
На тлі атаки правоохоронні органи США посилили тиск на інфраструктуру Handala. ФБР конфіскувало щонайменше два домени, які використовувалися зловмисниками: handala-redwanted[.]to та handala-hack[.]to. Наразі на цих ресурсах відображається повідомлення про вилучення за рішенням Окружного суду штату Меріленд.
DNS-записи доменів були змінені на ns1.fbi.seized.gov та ns2.fbi.seized.gov, а в супровідних документах зазначено, що ці імена застосовувалися для «шкідливої кібердіяльності в інтересах іноземної держави». Представники Handala в своєму Telegram-каналі визнали втрату сайтів і заявили про плани побудувати більш стійку інфраструктуру, що вказує на збереження загрози з їхнього боку.
Уроки для кібербезпеки: ризики MDM, Microsoft Intune та привілейованих акаунтів
Захист облікових записів Global Administrator
Інцидент із Stryker демонструє, що компрометація одного адміністративного акаунта у хмарному середовищі може призвести до масштабних наслідків без використання будь-якого малвару. Тому життєво важливо:
- запровадити багатофакторну автентифікацію (MFA) для всіх привілейованих користувачів;
- мінімізувати кількість Global Administrator і регулярно перевіряти їх активність;
- заборонити повсякденну роботу під обліковими записами з високими правами;
- використовувати окремі пристрої або ізольовані сесії для адмін-доступу.
Безпечне використання Microsoft Intune та політик BYOD
Платформи MDM, такі як Microsoft Intune, у разі захоплення перетворюються на потужний інструмент руйнації всередині організації. Рекомендовано:
- розділяти управління корпоративними та особистими пристроями, обережно впроваджуючи політики BYOD;
- для критичних команд (зокрема масовий remote wipe) впроваджувати додаткові рівні погодження та журналювання;
- регулярно проводити аудит конфігурацій Intune і перевіряти, хто має право виконувати високоризикові операції.
Zero trust та постійний моніторинг хмарних середовищ
Після інциденту Microsoft і CISA опублікували рекомендації щодо посилення захисту Windows-доменів та Microsoft Intune. Вони узгоджуються з підходом zero trust, який передбачає:
- постійний моніторинг аномальної активності в хмарних середовищах;
- перевірку кожного запиту доступу, незалежно від того, зсередини чи ззовні периметра він надходить;
- регулярне тестування процесів реагування на інциденти та навчання персоналу ризикам, пов’язаним з обліковими даними.
Історія з кібератакою на Stryker показує: навіть великі компанії з розвиненою ІТ-інфраструктурою та суворими регуляторними вимогами залишаються вразливими, якщо недооцінюють ризики, пов’язані з хмарними сервісами управління пристроями та доступом. Організаціям варто вже зараз переглянути стратегії захисту Microsoft Intune і Microsoft 365, посилити контроль над привілейованими акаунтами та впровадити принципи zero trust. Інвестиції в безпеку MDM, моніторинг і навчання співробітників можуть стати вирішальним фактором, який відокремить керований інцидент від катастрофічної зупинки бізнесу.
