Atak na Stryker: masowe wymazywanie urządzeń przez Microsoft Intune bez użycia malware

Wprowadzenie do problemu / definicja

Incydent dotyczący firmy Stryker pokazuje, iż destrukcyjny cyberatak nie zawsze wymaga użycia ransomware ani klasycznego złośliwego oprogramowania. W tym przypadku kluczowym narzędziem okazał się legalny mechanizm administracyjny w ekosystemie Microsoft, który po przejęciu kont o wysokich uprawnieniach został wykorzystany do zdalnego wymazywania urządzeń końcowych.

To model ataku typu living-off-the-land, w którym sprawca nadużywa natywnych funkcji platformy chmurowej do osiągnięcia efektu sabotażu operacyjnego. Tego rodzaju działania są szczególnie niebezpieczne, ponieważ mogą nie pozostawiać typowych śladów charakterystycznych dla malware.

W skrócie

• Stryker potwierdził globalne zakłócenia w wewnętrznym środowisku Microsoft po cyberataku wykrytym 11 marca 2026 r.
• Incydent nie objął portfolio produktów medycznych firmy ani bezpieczeństwa urządzeń klinicznych.
• Dziesiątki tysięcy urządzeń pracowniczych zostały zdalnie wymazane, prawdopodobnie z użyciem funkcji wipe w Microsoft Intune.
• Śledztwo nie wykazało oznak wdrożenia malware ani potwierdzonej eksfiltracji danych.
• Atak spowodował poważne zakłócenia operacyjne, w tym problemy z realizacją zamówień i procesami biznesowymi.

Kontekst / historia

Pierwsze publiczne informacje wskazywały na szerokie zakłócenia w globalnej infrastrukturze firmy oraz możliwy udział grupy Handala, łączonej przez część źródeł z aktywnością proirańską. Sprawcy twierdzili, iż usunęli ponad 200 tysięcy systemów, serwerów i urządzeń mobilnych oraz pozyskali duże wolumeny danych.

Z późniejszych ustaleń wynika jednak, iż rzeczywista skala incydentu koncentrowała się głównie na wewnętrznym środowisku korporacyjnym Microsoft. Stryker podkreślał w oficjalnych komunikatach, iż zdarzenie nie wpłynęło na bezpieczeństwo użytkowania urządzeń medycznych ani systemów krytycznych klinicznie.

Firma skoncentrowała działania odtworzeniowe na przywracaniu logistyki, obsługi zamówień oraz systemów wspierających dostawy. Do dochodzenia i reagowania na incydent zaangażowano zarówno specjalistów Microsoft DART, jak i zewnętrznych ekspertów bezpieczeństwa.

Analiza techniczna

Najważniejszym elementem technicznym tego ataku było wykorzystanie przejętych uprawnień administracyjnych zamiast wdrażania złośliwego kodu. Z dostępnych informacji wynika, iż napastnik skompromitował konto administratora, a następnie utworzył nowe konto Global Administrator, uzyskując szeroką kontrolę nad usługami tożsamości i zarządzania.

Po przejęciu odpowiednich uprawnień sprawca miał użyć polecenia wipe w Microsoft Intune. Jest to legalna funkcja MDM, która normalnie służy do zdalnego resetowania urządzeń, usuwania danych po utracie sprzętu lub przy zakończeniu współpracy z pracownikiem. W scenariuszu ofensywnym może jednak stać się narzędziem masowego niszczenia dostępności stacji roboczych i urządzeń mobilnych.

Taki atak nie wymaga instalowania plików wykonywalnych, loaderów ani mechanizmów persistence na endpointach. Wystarczy przejęcie warstwy tożsamości oraz administracyjnej kontroli nad tenantem. To znacząco utrudnia detekcję, ponieważ klasyczne rozwiązania EDR i antywirus mogą nie zarejestrować aktywności wyglądającej jak autoryzowane działanie administratora.

Dodatkowym problemem jest charakter środowisk MDM. Komenda wipe może zostać dostarczona urządzeniu przy kolejnym połączeniu z usługą, co oznacza bardzo krótkie okno reakcji obronnej. W organizacjach korzystających z modeli BYOD lub COPE skutki mogą objąć również dane prywatne użytkowników, jeżeli nie wdrożono odpowiedniej separacji danych i adekwatnych polityk zarządzania.

Konsekwencje / ryzyko

Incydent unaocznia, jak dużą wartość operacyjną ma kompromitacja kont uprzywilejowanych w środowiskach SaaS i MDM. Przejęcie jednego konta o szerokich uprawnieniach może umożliwić natychmiastowy wpływ na tysiące urządzeń bez konieczności klasycznego poruszania się po sieci.

Atak uderzał przede wszystkim w dostępność, czyli filar bezpieczeństwa często niedoszacowany względem poufności danych. choćby bez szyfrowania plików i bez malware organizacja może utracić zdolność do realizacji procesów biznesowych, komunikacji wewnętrznej i obsługi klientów.

W sektorach regulowanych, takich jak medtech, skutki takich zakłóceń mogą gwałtownie przełożyć się na ryzyko operacyjne, kontraktowe i reputacyjne. Dodatkowo incydent zwraca uwagę na zagrożenia związane z urządzeniami prywatnymi rejestrowanymi w systemach firmowego zarządzania, gdzie błędna lub nadużyta operacja administracyjna może prowadzić do utraty danych osobistych użytkowników.

Rekomendacje

Organizacje korzystające z Microsoft Intune, Entra ID i innych chmurowych systemów zarządzania powinny potraktować ten przypadek jako wyraźny sygnał do przeglądu modelu uprzywilejowanego dostępu oraz procedur reagowania na nadużycia administracyjne.

• Ograniczyć liczbę kont Global Administrator do absolutnego minimum.
• Stosować model just-in-time oraz just-enough-administration.
• Wymusić odporne MFA dla wszystkich kont uprzywilejowanych, najlepiej z użyciem metod phishing-resistant.
• Rozdzielić role administracyjne między tożsamość, MDM, bezpieczeństwo i operacje.
• Wdrożyć alerty wysokiego priorytetu dla utworzenia nowego Global Administratora, masowych akcji wipe i zmian w grupach uprzywilejowanych.
• Zastosować approval workflow lub dodatkowe kontrole dla operacji destrukcyjnych wykonywanych na dużej liczbie urządzeń.
• Regularnie analizować logi audytowe z Intune, Entra ID i Microsoft 365 oraz integrować je z SIEM.
• Rozdzielić dane firmowe i prywatne na urządzeniach mobilnych oraz tam, gdzie to możliwe, stosować selective wipe zamiast pełnego wipe.
• Przygotować plany awaryjne dla utraty dużej części floty endpointów, w tym procedury szybkiego reprovisioningu i zapasowe kanały komunikacji.
• Testować scenariusze tabletop oraz ćwiczenia IR skoncentrowane na nadużyciu legalnych funkcji administracyjnych.

Podsumowanie

Atak na Stryker jest istotnym przykładem nowoczesnego sabotażu cybernetycznego przeprowadzonego bez użycia klasycznego malware. Kluczowym zasobem okazała się nie sama warstwa endpointów, ale tożsamość i chmurowe mechanizmy zarządzania.

Dla zespołów bezpieczeństwa oznacza to konieczność przesunięcia części uwagi z detekcji plikowego malware na ochronę kont uprzywilejowanych, monitoring działań administracyjnych i ograniczanie możliwości wykonywania operacji o wysokiej destrukcyjności. Legalne narzędzie administracyjne, użyte przez nieautoryzowanego operatora, może dziś wywołać skutki porównywalne z pełnoskalowym atakiem ransomware.

Źródła

1. BleepingComputer — https://www.bleepingcomputer.com/news/security/stryker-attack-wiped-tens-of-thousands-of-devices-no-malware-needed/
2. Stryker — A Message To Our Customers — https://www.stryker.com/us/en/about/news/2026/a-message-to-our-customers-03-2026.html
3. Newsweek — Stryker Issues Safety Update After Alleged Iran-Linked Cyberattack — https://www.newsweek.com/stryker-cyberattack-iran-handala-11664292
4. Al Jazeera — Iran-linked hackers hit medical giant Stryker in retaliatory cyberattack — https://www.aljazeera.com/news/2026/3/11/iran-linked-hackers-hit-medical-giant-stryker-in-retaliatory-cyberattack
5. Microsoft Learn — Remote actions for devices in Intune — https://learn.microsoft.com/en-us/mem/intune/remote-actions/devices-wipe