Atak na Stryker bez malware: masowe wymazanie urządzeń przez Microsoft Intune

Wprowadzenie do problemu / definicja

Incydent dotyczący Stryker pokazuje, jak bardzo zmienił się krajobraz współczesnych cyberataków. Zamiast klasycznego ransomware lub złośliwego oprogramowania, napastnicy mieli wykorzystać legalne funkcje administracyjne chmury oraz przejęte konta uprzywilejowane. W praktyce oznacza to, że destrukcja może zostać przeprowadzona bez instalowania malware na stacjach roboczych czy urządzeniach mobilnych.

W opisywanym przypadku kluczową rolę odegrał Microsoft Intune, czyli platforma do zarządzania urządzeniami i politykami bezpieczeństwa. Mechanizm zdalnego kasowania urządzeń, zaprojektowany z myślą o ochronie firmowych zasobów, mógł zostać użyty przeciwko samej organizacji. To szczególnie groźny scenariusz, ponieważ działania napastnika mogą przypominać rutynowe operacje administratora.

W skrócie

Stryker poinformował o globalnym zakłóceniu swojego środowiska Microsoft w wyniku cyberataku. Firma zaznaczyła, że nie wykryto użycia ransomware ani malware, a wpływ incydentu miał zostać ograniczony do środowiska korporacyjnego.

Z publicznie dostępnych informacji wynika, że po przejęciu konta administracyjnego atakujący mieli utworzyć nowe konto z uprawnieniami Global Administrator, a następnie użyć funkcji wipe w Intune do wymazania danych na bardzo dużej liczbie urządzeń. Jednocześnie producent podkreślił, że jego produkty medyczne pozostały bezpieczne, choć część procesów zamówień i operacji biznesowych została czasowo zakłócona.

Kontekst / historia

Do incydentu doszło w marcu 2026 roku i szybko stał się on ważnym przykładem ataku typu living-off-the-land. W takich operacjach przeciwnik nie musi wnosić do środowiska własnych narzędzi destrukcyjnych, ponieważ korzysta z legalnych usług SaaS, konsol administracyjnych oraz interfejsów API dostępnych w chmurze.

To zdarzenie wpisuje się w szerszy trend odchodzenia od modelu bezpieczeństwa skupionego wyłącznie na wykrywaniu złośliwych plików. Dziś równie ważna, a często nawet ważniejsza, staje się ochrona tożsamości, sesji uprzywilejowanych, ról administracyjnych i samej płaszczyzny zarządzania usługami chmurowymi. Przejęcie konta o wysokich uprawnieniach może dać napastnikowi możliwości porównywalne z klasycznym atakiem destrukcyjnym, ale przy znacznie mniejszej liczbie widocznych artefaktów.

Analiza techniczna

Microsoft Intune umożliwia administratorom wykonywanie zdalnych akcji na zarządzanych urządzeniach, w tym polecenia wipe. Jest to legalna funkcja stosowana m.in. wtedy, gdy sprzęt zostaje utracony, wycofany z użycia albo przekazywany innemu pracownikowi. W rękach atakującego taka funkcja może jednak stać się narzędziem masowej destrukcji.

W analizowanym scenariuszu kluczowy był najpierw dostęp do konta administracyjnego, a następnie eskalacja uprawnień poprzez utworzenie nowego konta Global Administrator. Taki poziom dostępu pozwala zarządzać tożsamościami, rolami, politykami oraz powiązanymi usługami Microsoft. Po uzyskaniu kontroli nad warstwą administracyjną możliwe było uruchomienie zdalnych akcji kasowania z poziomu legalnej konsoli.

Tego typu atak ma kilka cech, które znacząco utrudniają obronę:

• nie wymaga dostarczenia plików wykonywalnych na endpointy,
• nie tworzy typowych śladów infekcji malware,
• może odbywać się w ramach poprawnie uwierzytelnionych sesji,
• bywa mylony z normalną aktywnością administracyjną,
• przenosi ciężar detekcji z EDR na monitoring tożsamości i audyt działań w chmurze.

Z perspektywy obrony szczególnie istotne są anomalie, które mogą sygnalizować podobny incydent. Należą do nich nagłe utworzenie nowego konta uprzywilejowanego, niespodziewany wzrost liczby operacji wipe, działania administracyjne poza standardowym oknem serwisowym, logowania z nietypowych lokalizacji oraz zmiany ról w systemie tożsamości.

Dodatkowy wymiar ryzyka dotyczy środowisk BYOD. Jeżeli prywatne telefony lub komputery zostały objęte zarządzaniem korporacyjnym, nadużycie funkcji wipe może skutkować także utratą danych osobistych. To pokazuje, że bezpieczeństwo administracyjne i ochrona prywatności użytkowników są w takich incydentach ściśle powiązane.

Konsekwencje / ryzyko

Masowe wymazanie urządzeń może doprowadzić do natychmiastowego paraliżu operacyjnego. Organizacja traci dostęp do stacji roboczych, urządzeń mobilnych, lokalnych plików, zapisanych konfiguracji i wielu elementów niezbędnych do codziennej pracy. W dużym przedsiębiorstwie przekłada się to na spadek produktywności, opóźnienia procesów biznesowych i wzrost kosztów odtworzenia środowiska.

Najważniejsze ryzyka związane z takim scenariuszem obejmują:

• destrukcję bez użycia malware, co utrudnia szybką klasyfikację incydentu,
• przejęcie warstwy tożsamości, które może wskazywać na szerszą kompromitację usług chmurowych,
• możliwość jednoczesnego objęcia atakiem dziesiątek tysięcy endpointów,
• utratę danych lokalnych, które nie były prawidłowo kopiowane lub synchronizowane,
• długotrwały proces przywracania działania wymagający współpracy wielu zespołów technicznych i biznesowych.

W przypadku firmy z sektora medycznego znaczenie ma także aspekt zaufania. Nawet jeśli same produkty medyczne nie zostały naruszone, zakłócenia w systemach zamówień i procesach wsparcia mogą wpływać na postrzeganie bezpieczeństwa całego łańcucha operacyjnego.

Rekomendacje

Incydent ten powinien być sygnałem ostrzegawczym dla wszystkich organizacji korzystających z Microsoft Intune, Entra ID i innych platform chmurowych. Ochrona endpointów pozostaje ważna, ale nie wystarczy bez skutecznego zabezpieczenia tożsamości i kontroli nad płaszczyzną administracyjną.

Najważniejsze działania ograniczające ryzyko to:

• wdrożenie phishing-resistant MFA dla wszystkich kont uprzywilejowanych,
• ograniczenie liczby stałych kont Global Administrator do minimum,
• stosowanie modelu just-in-time i privileged identity management,
• separacja kont użytkownika od konta administracyjnego,
• wykorzystanie dedykowanych stacji administracyjnych,
• alertowanie o każdej zmianie ról uprzywilejowanych i tworzeniu nowych administratorów,
• pełny audyt zdalnych akcji Intune, zwłaszcza wipe, retire, reset i remote lock,
• ustalenie progów anomalii dla masowych operacji na urządzeniach,
• regularne testy odtwarzania po destrukcji endpointów,
• utrzymywanie kopii zapasowych danych użytkowników i kluczowych konfiguracji poza urządzeniami końcowymi,
• przegląd polityk BYOD pod kątem ryzyka utraty danych prywatnych.

Warto również wdrożyć procedury awaryjne typu break glass, czyli silnie chronione konta ratunkowe służące do odzyskania kontroli nad tenantem. Równie ważne jest centralne zbieranie logów z warstwy tożsamości, MDM i narzędzi produktywności, aby zespół SOC mógł korelować nietypowe działania administracyjne z logowaniami i zmianami konfiguracji.

Od strony organizacyjnej niezbędne są ćwiczenia tabletop dla scenariuszy przejęcia kont administracyjnych w chmurze. W wielu firmach plany reagowania nadal koncentrują się na ransomware, podczas gdy realne zagrożenie może przyjść przez legalne API i prawidłowo uwierzytelnioną sesję.

Podsumowanie

Atak na Stryker jest wyraźnym przykładem nowoczesnej operacji destrukcyjnej, w której malware nie jest potrzebne do osiągnięcia poważnych skutków biznesowych. Przejęcie uprzywilejowanej tożsamości i wykorzystanie natywnej funkcji wipe w Intune mogło umożliwić masowe wymazanie urządzeń przy bardzo ograniczonym zestawie klasycznych wskaźników kompromitacji.

Dla zespołów bezpieczeństwa płynie z tego jedna kluczowa lekcja: skuteczna obrona musi obejmować nie tylko ochronę endpointów, lecz przede wszystkim tożsamości, role uprzywilejowane, sesje administracyjne i aktywność w control plane chmury. To właśnie tam coraz częściej rozstrzyga się dziś odporność organizacji na najbardziej dotkliwe incydenty.

Źródła

• BleepingComputer — Stryker attack wiped tens of thousands of devices, no malware needed
• Stryker — A Message To Our Customers
• Microsoft Learn — Remote Device Action: Wipe
• Microsoft IR — Incident Response Resources
• Palo Alto Networks — Unit 42 Incident Response Services