La récente cyberattaque a ciblé le géant de la technologie médicale Stryker, touchant uniquement son environnement interne lié à Microsoft. Cette attaque a conduit à l’effacement à distance de milliers de dispositifs appartenant aux employés.
Dans une mise à jour publiée dimanche, l’entreprise a rassuré quant à la sécurité de tous ses dispositifs médicaux. Cependant, les systèmes électroniques de commande demeurent hors ligne, forçant les clients à passer des commandes manuellement via les représentants commerciaux.
Stryker précise que cet incident ne relève pas d’une attaque par ransomware, et les auteurs n’ont pas installé de malware sur ses systèmes.
Le groupe de hacktivistes, connu sous le nom de Handala et soupçonné d’être lié à l’Iran, a revendiqué cet acte. Les assaillants ont affirmé avoir effacé “plus de 200 000 systèmes, serveurs et dispositifs mobiles” tout en déclarant avoir volé 50 téraoctets de données. Néanmoins, les enquêteurs n’ont trouvé aucune preuve d’exfiltration de données.
Suite à la perturbation, de nombreux employés de Stryker dans plusieurs pays ont signalé que leurs dispositifs gérés avaient été effacés à distance pendant la nuit. Certains avaient inscrit leurs appareils personnels sur le réseau de l’entreprise, se traduisant par une perte de données personnelles lors du processus d’effacement.
Privilèges Administratifs Globaux
Une source informée sur l’attaque a révélé à BleepingComputer que les assaillants avaient utilisé la commande d’effacement dans Intune, le service de gestion des points de terminaison basé sur le cloud de Microsoft, pour éliminer les données de près de 80 000 dispositifs entre 5h00 et 8h00 UTC le 11 mars.
Cette action a été exécutée après que l’attaquant ait compromis un compte administrateur et créé un nouveau compte d’Administrateur Global.
L’enquête est actuellement dirigée par l’équipe Microsoft Detection and Response Team (DART) en collaboration avec des experts en cybersécurité de Palo Alto Unit 42.
La mise à jour de Stryker souligne que l’attaque n’a eu aucun impact sur ses produits, qu’ils soient connectés ou non, et qu’elle s’est limitée à l’environnement interne de l’entreprise de Microsoft.
Les efforts de restauration sont en cours, avec un accent particulier sur la reprise des services d’expédition et de transaction. Les clients sont invités à maintenir des communications normales avec le personnel de l’entreprise pendant que l’infrastructure est progressivement rétablie.
Toutes les commandes passées avant l’attaque seront honorées une fois les systèmes restaurés, tandis que celles passées pendant la perturbation seront traitées lorsque la situation sera revenue à la normale.
La société travaille en coordination avec ses sites de fabrication mondiaux pour évaluer l’impact opérationnel potentiel. La priorité actuelle de Stryker est de restaurer le système de supply-chain et de reprendre les commandes et l’expédition aux clients. “Nos systèmes transactionnels essentiels sont déjà sur la voie d’une récupération complète,” affirme l’entreprise.