Основы Интернет - технологий.

Появились подробности кибератаки на медтех-гиганта Stryker: выяснилось, что злоумышленники удаленно уничтожили данные на 80 000 устройств без использования малвари, через Microsoft Intune, а ФБР изъяло сайты хактивистской группировки Handala, стоявшей за этой атакой.

Как мы рассказывали ранее в этом месяце, связанная с Ираном хакерская группировка Handala заявила, что уничтожила данные более чем на 200 000 устройствах компании Stryker и похитила 50 ТБ информации. Теперь, благодаря проведенному самой Stryker расследованию и обновленным данным, картина атаки стала проясняться.

По информации издания Bleeping Computer и источников, знакомых с расследованием, атакующие скомпрометировали учетную запись администратора, а затем создали новый аккаунт с правами Global Administrator. Через Intune — облачный сервис Microsoft для управления конечными точками — они отправили команду на удаленную очистку около 80 000 устройств.

Уничтожение данных произошло 11 марта 2026 года, в промежутке между 5:00 и 8:00 UTC. Как уже сообщалось ранее, информация была удалена не только на корпоративных компьютерах и мобильных устройствах, но и на личных девайсах сотрудников, подключенных к корпоративной сети.

В Stryker подчеркивают, что атака не затронула продукцию компании — все медицинские устройства по-прежнему безопасны для использования. Инцидент ограничился исключительно внутренней средой Microsoft. При этом следователи не обнаружили каких-либо признаков шифрования данных или присутствия малвари, а также не подтвердили факт эксфильтрации данных, о которой заявляли хакеры.

Расследованием инцидента занимаются специалисты Microsoft Detection and Response Team (DART) совместно с экспертами Palo Alto Unit 42. В настоящее время в компании восстанавливают системы, и основным приоритетом является возобновление цепочки поставок, обработки заказов и отгрузки товаров. Заказы, сделанные до или во время атаки, обещают выполнить после полного восстановления.

На этой неделе ФБР конфисковало два домена группировки Handala: handala-redwanted[.]to и handala-hack[.]to. На обоих сайтах теперь отображается уведомление об изъятии по ордеру, выданному Окружным судом штата Мэриленд. В уведомлении сказано, что домены использовались для вредоносной киберактивности в интересах иностранного государства.

DNS-северы доменов уже переведены на ns1.fbi.seized.gov и ns2.fbi.seized.gov, однако пока неизвестно, получило ли ФБР доступ к содержимому серверов и логам.

Участники Handala признали факт изъятия сайтов в своем Telegram-канале и заявили о необходимости создания более устойчивой инфраструктуры.

После атаки на Stryker Microsoft и CISA выпустили рекомендации по усилению защиты Windows-доменов и Intune для предотвращения подобных инцидентов в других организациях.