Корпорація Stryker, один із лідерів у виробництві медичних технологій, офіційно заявила про використання шкідливого програмного забезпечення під час кібератаки, що сталася нещодавно. За даними компанії, внаслідок інциденту було виведено з ладу понад 200 000 корпоративних пристроїв, що призвело до двотижневої зупинки виробничих ліній. Наразі Stryker активно відновлює виробничі процеси.
Хоча компанія не надала детальних відомостей про зловмисників, у ЗМІ з'явилися припущення, що за цією атакою можуть стояти кіберугруповання, пов'язані з Іраном. Масштаб та характер атаки вказують на цілеспрямовану та добре організовану кампанію.
Підтвердження використання шкідливого ПЗ та виведення з ладу такої великої кількості пристроїв (понад 200 000) свідчить про застосування деструктивного програмного забезпечення, ймовірно, типу вайпер (wiper malware) або подібного, що має на меті знищення даних та порушення функціонування систем. Такі атаки часто починаються з компрометації мережі через фішинг, використання вразливостей у програмному забезпеченні або скомпрометовані облікові дані, після чого зловмисники поширюють шкідливе ПЗ по всій інфраструктурі.
- Масштаб ураження: Виведення з ладу понад 200 000 пристроїв вказує на відсутність або неефективність належної сегментації мережі, що дозволило шкідливому ПЗ швидко поширитися.
- Вплив на ОТ/ІТ: Зупинка виробничих ліній підкреслює взаємозалежність між інформаційними технологіями (ІТ) та операційними технологіями (ОТ) у сучасних промислових середовищах. Атака на ІТ-інфраструктуру може мати прямі та руйнівні наслідки для фізичних виробничих процесів.
Інцидент зі Stryker є тривожним сигналом для широкого кола організацій, особливо тих, що працюють у сферах критичної інфраструктури, промисловості та охорони здоров'я. Загроза стосується:
- Виробничих підприємств: Будь-яка компанія з автоматизованими виробничими лініями, де ІТ та ОТ тісно інтегровані, є потенційною мішенню для подібних деструктивних атак.
- Медичних установ та виробників: Сектор охорони здоров'я є привабливою ціллю через чутливість даних та критичну важливість безперебійної роботи.
- Організацій з великою кількістю кінцевих пристроїв: Чим більше пристроїв у мережі, тим вищий ризик швидкого поширення шкідливого ПЗ за відсутності належного захисту та сегментації.
- Компаній, що є частиною ланцюгів постачання: Атака на одного постачальника може мати каскадні наслідки для всієї галузі.
Для мінімізації ризиків та підвищення стійкості до подібних атак Cyber Index UA рекомендує:
- Посилення захисту кінцевих точок: Впровадження рішень EDR/XDR (Endpoint Detection and Response / Extended Detection and Response) для виявлення та реагування на аномальну активність.
- Сегментація мережі: Розділення ІТ- та ОТ-мереж, а також внутрішня сегментація для обмеження поширення шкідливого ПЗ у разі компрометації.
- Регулярне резервне копіювання: Створення та перевірка офлайн-резервних копій критичних даних та конфігурацій систем.
- Плани реагування на інциденти: Розробка та регулярне тестування планів реагування на кіберінциденти, включаючи процедури відновлення після деструктивних атак.
- Управління вразливостями: Своєчасне оновлення програмного забезпечення та операційних систем, а також патчінг відомих вразливостей.
- Навчання персоналу: Проведення регулярних тренінгів для співробітників з питань кібергігієни, зокрема щодо розпізнавання фішингових атак.
- Моніторинг та розвідка загроз: Активне використання розвідки загроз (threat intelligence) для розуміння актуальних тактик та технік зловмисників.