医療機器企業のStrykerは、イランの疑いのあるサイバーアクターが20万台以上の企業デバイスをワイプした2週間後、生産ラインを再開していると述べました。
同社は月曜日の通知で顧客を安心させようとし、事件に関与したハッカーがStrykerシステムから削除されたことを確認するサイバーセキュリティ企業Palo Alto Networksからの手紙を共有しました。
Stryker関係者は、ワイプされたシステムを再構築しているか、侵害の既知の期間より前のバックアップから復元していると述べ、脅威アクターの再侵入をさらに防止しています。まだ復元されていない影響を受けたシステムはネットワークから隔離されています。
サイバー侵害がStrykerの顧客に拡大したかどうかについての懸念が高まった後、世界中の病院と医療施設に複数の更新が送信されました。
先週の事件に関与したイランのハッカーを標的とした司法省宣誓書では、連邦検察官はStryker攻撃が「メリーランド州内の緊急医療サービスと病院に直接的な影響を与えた」と述べ、「ワイパー事件の影響を受けることへの懸念から、いくつかの病院が会社への接続を一時的に中止した」と述べました。
宣誓書は、メリーランド州の病院に配置されたStryker従業員の1人が、サイバー攻撃に続いてデバイスがワイプされた後、仕事を続けるのに苦労していたことを引用しています。
Strykerは、ベッドセンサーや看護師と医師が互いに連絡できるハンズフリー通信デバイスなど、様々な病院技術を製造しています。裁判所の文書は、「[Stryker]システムの中断の結果…臨床医は無線相談と口頭説明に頼るよう指示された」と述べました。
「必要な臨床通信システムの中断は、[Stryker]へのサイバー攻撃が場合によってはメリーランド州の病院における救急医療の提供を妨害したことを示している」と検察官は述べました。
Strykerは最近、顧客に対して緊急通知を送信し、自社の技術は安全に使用でき、内部企業Microsoft システムを標的にしたサイバー攻撃には関連していないことを保証しました。イランのハッカーはMicrosoft Intuneのネイティブ機能(デバイスワイプ機能)を使用して、米国、アイルランド、インド、その他の国のStrykerの従業員ベース全体で20万台以上のデバイス上のすべての企業データを破壊しました。
同社は月曜日、顧客を直接サポートするシステム、注文と配送の復元を優先していると述べました。
Strykerはまた、攻撃中に攻撃者によってマルウェアが使用されたことに注目しました。事件が始まった後、同社は継続的に公開と規制当局に、ランサムウェアやマルウェアは関与していないと述べてきました。
月曜日の更新では、Strykerはカリフォルニア州のセキュリティ企業Palo Alto Networksの事件対応チームUnit 42とその他の専門家が「脅威アクターが悪意のあるファイルを使用してコマンドを実行し、企業システム内で自分の活動を隠すことができた」と述べました。
「明確に言うと、このファイルは、環境内または環境外のいずれでも拡散する機能がありませんでした。最も重要なことに、調査は顧客、サプライヤー、ベンダー、またはパートナーに向けられた悪意のある活動を特定したことがありません」とStrykerは述べました。
同社はPalo Alto Networks Unit 42の事件対応副会長Troy Bettencourtからの手紙のコピーを共有しました。この手紙はStrykerの評価を確認し、事件が封じ込められ、ハッカーが顧客、サプライヤー、ベンダー、パートナーシステムにアクセスしたという証拠がないことを確認しています。
この手紙は、Unit 42が脅威アクターによってインストールされた「不正な永続化メカニズム」を削除するのに役立ったと述べています。
「Unit 42はStryker環境内でアクティブで、封じ込められていない、永続的な不正アクセスの現在の証拠を発見していません」とBettencourtは述べ、彼らは状況を監視するためにMicrosoftと協力していると付け加えました。
Strykerは製造システムが「重要なラインと工場がオンラインに戻されるため急速に増加している」と述べました。グローバル製造施設は同社によると「引き続き安定している」と述べました。
Bloombergは先週、Stryker製インプラントが攻撃により利用不可であるため、いくつかの手術がキャンセルされたと報告しました。
以下についてさらに詳しい情報を得てください
Recorded Future
Intelligence Cloud.
翻訳元: https://therecord.media/stryker-cyberattack-malware-iran
