Stryker, une entreprise américaine spécialisée dans les équipements médicaux, a été frappée par une cyberattaque majeure. Les pirates sont parvenus à effacer les données sur plusieurs dizaines de milliers de machines : postes de travail, serveurs et appareils mobiles. Le tout sans utiliser le moindre logiciel malveillant.

Un nettoyage des données via Microsoft Intune

Lorsque les données des machines sont affectées, qu’elles soient détruites ou chiffrées, nous avons l’habitude d’attribuer l’action à un malware (un data wiper, par exemple) ou un ransomware. Pourtant, pour semer la pagaille chez Stryker, les pirates n’ont pas déployé le moindre logiciel malveillant. Ils ont tout simplement détourné les outils d’administration de l’entreprise contre elle.

Voici comment s’est déroulée cette attaque :

1 – Compromission d’un compte administrateur sur l’environnement Microsoft 365

2 – Création d’un nouveau compte Administrateur Global (Global Administrator) sur le tenant

3 – Exécution de l’action “Wipe” depuis Microsoft Intune, ce qui a pour effet de nettoyer l’appareil à distance. Cette opération engendre une réinitialisation de l’appareil et une suppression des données.

Vous l’aurez compris, Microsoft Intune, la solution de gestion des appareils basée sur le Cloud de Microsoft, a été détournée par les pirates. Le 11 mars dernier, entre 5h00 et 8h00 UTC, près de 80 000 appareils ont été purement et simplement effacés via cette méthode. De leur côté, les attaquants revendiquent avoir effacé plus de 200 000 systèmes, serveurs et appareils mobiles et volé 50 téraoctets de données. Toutefois, les équipes d’investigation de Microsoft (DART) et de Palo Alto Unit 42 n’ont pas trouvé de preuve confirmant une exfiltration de données.

Cette cyberattaque a également eu un impact sur les données personnelles de certains utilisateurs. En effet, certains employés ont enrôlé leurs équipements personnels (merci le BYOD) sur le SI de l’entreprise.

L’opérationnel touché, mais les dispositifs médicaux épargnés

Face à l’ampleur de l’incident, Stryker affirme que l’attaque est restée confinée à l’environnement Microsoft. Les appareils médicaux en eux-mêmes ne sont pas affectés par cet incident de sécurité : “Tous les produits Stryker de notre portefeuille mondial, y compris les technologies connectées, numériques et de sauvetage, restent sûrs à utiliser.”, précise la société américaine.

Malgré tout, il y a eu un impact fort au niveau de l’opérationnel, en particulier au niveau de la gestion des commandes. La priorité de Stryker est désormais de remettre en état de marche la chaîne d’approvisionnement, avant de s’attaquer aux appareils eux-mêmes.

Enfin, il est à noter que cette attaque a été revendiquée par le groupe d’hacktivistes Handala, supposé être lié à l’Iran.

Source