Stryker afirma que ciberataque vinculado ao Irã foi contido enquanto restauração dos sistemas continua.
A gigante de tecnologia médica Stryker confirmou na segunda-feira que um ciberataque de 11 de março que paralisou suas operações globais foi contido, enquanto a empresa continua trabalhando “24 horas por dia” para restaurar os sistemas de pedidos e envio interrompidos quando hackers vinculados ao Irã transformaram as próprias ferramentas de gerenciamento de dispositivos da empresa em armas para apagar dezenas de milhares de dispositivos de funcionários em dezenas de países.
O ataque, reivindicado pelo grupo hacker pró-Irã Handala, representa uma das operações cibernéticas mais destrutivas já executadas contra uma grande corporação americana — e a primeira vez que o grupo atacou uma empresa americana em vez de suas vítimas israelenses habituais.
Como Aconteceu
Na sua mais recente atualização para clientes em 23 de março, a Stryker revelou que, embora inicialmente acreditasse que nenhum malware estava envolvido, os investigadores da Unit 42 da Palo Alto Networks posteriormente identificaram “um arquivo malicioso” usado pelos atacantes para executar comandos e ocultar suas atividades dentro dos sistemas da empresa. A companhia enfatizou que o arquivo “não era capaz de se espalhar” e que nenhuma atividade maliciosa havia sido direcionada a clientes, fornecedores ou parceiros.
De acordo com o BleepingComputer, os atacantes comprometeram uma conta de administrador do Microsoft Intune e criaram uma nova conta de Administrador Global, que então foi usada para emitir comandos de limpeza remota que apagaram dados de quase 80.000 dispositivos entre 5h00 e 8h00 UTC em 11 de março. O próprio Handala alegou que mais de 200.000 dispositivos foram limpos em 79 países, embora os investigadores tenham contestado várias das alegações do grupo, incluindo sua afirmação de ter exfiltrado 50 terabytes de dados.
Funcionários na Irlanda, Estados Unidos, Austrália e Índia encontraram laptops, telefones e servidores completamente apagados, com o logotipo do Handala exibido nas telas de login. A Stryker enviou mais de 5.000 trabalhadores para casa apenas de suas operações irlandesas e fechou escritórios no mundo todo. O ataque interrompeu o processamento de pedidos, a fabricação e o envio — embora a empresa tenha mantido que seus dispositivos médicos, incluindo seus robôs cirúrgicos Mako e desfibriladores LifePak, permaneceram seguros para uso.
Contexto Geopolítico e Resposta dos EUA
O Handala apresentou o ataque como retaliação a um ataque de mísseis dos EUA contra uma escola em Minab, no Irã, que matou mais de 175 pessoas no início do conflito entre EUA e Irã no final de fevereiro de 2026. O grupo, que pesquisadores de segurança cibernética vinculam ao Ministério da Inteligência e Segurança do Irã, anteriormente focava em alvos israelenses antes de escalar para uma grande empresa americana.
O Departamento de Justiça dos EUA agiu rapidamente, apreendendo quatro domínios usados pelo Handala para reivindicar a autoria de ataques, publicar dados roubados e emitir ameaças de morte contra jornalistas e dissidentes. O DOJ descreveu os sites como instrumentos de “esquemas de hacking e repressão transnacional” conduzidos pelo ministério de inteligência do Irã. O Handala reconheceu as apreensões no Telegram, chamando-as de “uma tentativa desesperada de silenciar nossa voz”, e posteriormente restaurou as operações em um novo domínio, de acordo com a Reuters.
Um Novo Tipo de Ataque
“Isso é um incêndio de cinco alarmes”, disse Chris Krebs, ex-diretor da CISA, ao CBS Mornings. “É um alerta para todas as organizações.”
Analistas de cibersegurança afirmam que o incidente representa uma mudança nas operações cibernéticas destrutivas. Em vez de implantar ransomware ou malware personalizado, os atacantes usaram uma técnica de “living off the land” (viver da terra), transformando a própria infraestrutura de gerenciamento em nuvem da Stryker em uma arma. O Intune funcionou exatamente como projetado — a falha estava na forma como o acesso privilegiado à plataforma foi protegido. Os documentos da Stryker apresentados à SEC alertaram que os impactos operacionais e financeiros totais permanecem desconhecidos, mesmo com seus “sistemas transacionais principais já em um caminho claro para a recuperação total.”
#Stryker #irã
