Взлом системы Stryker US мог начаться с кражи учетных данных

Новые данные свидетельствуют о том, что кибератака, которая вывела из строя гиганта медицинской техники Stryker могла начаться не с программного эксплойта, а с учетных данных, собранных вредоносным ПО infostealer.

SecurityWeek сообщил 18 марта, что Хадсон Рок Технический директор Алон Гал обнаружил в журналах infostealer учетные данные администратора Stryker, а также другие учетные данные служб Microsoft и управления мобильными устройствами, связанные с компанией.

Это не является подтверждением результатов экспертизы, и компания Stryker не подтвердила этот путь атаки. В документе , поданном 11 марта в Комиссию по ценным бумагам и биржам СШАкомпания сообщила, что выявила инцидент кибербезопасности, затронувший определенные ИТ-системы, который привел к глобальному сбою в работе ее среды Microsoft. Компания Stryker также заявила, что на тот момент у нее не было никаких признаков вымогательства или вредоносного ПО, и что расследование продолжается.

Доказательства указывают на злоупотребление действительными учетными записями

Новая информация примечательна тем, что предлагает более конкретную теорию того, как злоумышленники могли получить доступ. По словам SecurityWeek, более ранние отчеты указывали на то, что злоумышленники могли злоупотребить средой Microsoft Intune компании Stryker, скомпрометировав учетную запись администратора и создав новую учетную запись глобального администратора, которая затем якобы использовалась для стирания управляемых устройств.

Анализ, проведенный Hudson Rock, добавляет возможное объяснение: учетные данные, возможно, уже циркулировали в журналах infostealer до инцидента. Гал сказал, что учетные данные, связанные со Страйкером, были, по-видимому, месячной или даже многолетней давности, что говорит о том, что окно воздействия могло начаться задолго до инцидента 11 марта.

Отдельная телеметрия добавляет поддержку, но не подтверждение

В сообщении от 12 марта на сайте Lunar Cyber также сообщила, что наблюдала учетные данные, связанные с компанией Stryker, в журналах инфохищников на протяжении большей части 2025 года, при этом было раскрыто около 14 наборов учетных данных, затрагивающих Microsoft 365 и сторонние порталы.

Это не доказывает, что эти учетные данные были использованы при взломе, но подтверждает более широкую возможность того, что данные доступа, связанные со Stryker, были раскрыты до того, как инцидент стал достоянием общественности. В заявлении Stryker по-прежнему говорится, что полный масштаб, характер и последствия инцидента остаются неизвестными.

На данный момент наиболее безопасным является то, что новые данные связывают взлом системы Stryker с потенциально украденными учетными данными, но расследование Stryker все еще продолжается, и точный путь вторжения не был официально подтвержден.