Un grupo de piratas informáticos vinculado a Irán ha reivindicado la responsabilidad de un ciberataque a una empresa de tecnología médica en lo que parece ser el primer caso significativo de pirateo por parte de Irán a una empresa estadounidense desde el inicio de la guerra entre los países.
La empresa, Stryker, con sede en Michigan, produce una gama de equipos y tecnología médica.
Históricamente, Irán ha llevado a cabo algunos de los ataques cibernéticos más infames contra los enemigos nacionales, con el objetivo de borrar simplemente todos los datos de las redes de ordenadores. Las víctimas incluyen Saudi Aramcola compañía petrolera nacional de Arabia Saudita, en el 2012, y el Sands Casino en 2014.
Desde que comenzó la guerra, algunos grupos de piratas informáticos establecidos que simpatizaban con el liderazgo iraní han reclamado ataques menores, pero la mayoría han sido relegados a alterar brevemente la apariencia de un sitio web y ninguno parecía haber tenido un impacto importante. Algunas empresas tecnológicas y de ciberseguridad, incluida Google, y la empresa de ciberseguridad de correo electrónico Proofpoint, han dicho a NBC News que han visto en gran medida a los piratas informáticos de Irán haciendo espionaje relacionado con la guerra.
Pero esto parece haber cambiado el miércoles, con lo que parece haber sido un tipo de ataque distinto que también eliminó información de los dispositivos. Un empleado de Stryker, que solicitó no ser identificado por no estar autorizado a hablar en nombre de la empresa, dijo que los teléfonos emitidos por el trabajo de los empleados dejaron de funcionar, deteniendo el trabajo y las comunicaciones con sus compañeros.
Handala Team ha reivindicado la responsabilidad del pirateo de Stryker en declaraciones a sus cuentas de Telegram y X. El grupo presume habitualmente de sus hazañas en las plataformas de redes sociales, que en los últimos días han retirado versiones anteriores de sus cuentas.
Los detalles sobre cómo se llevó a cabo el pirateo no están claros. Pero la evidencia pública del pirateo apunta a la probabilidad de que los piratas informáticos tengan acceso a la cuenta Microsoft Intune de la empresa, que el empleado confirmó que utiliza Stryker. A partir de ahí, Handala parece haber borrado los dispositivos de algunos empleados en la configuración de fábrica, dijo un experto.
“Parece que han obtenido acceso a la consola de gestión de Microsoft Intune. Ésta es una solución para gestionar dispositivos corporativos”, dijo Rafe Pilling, director de inteligencia de amenazas de la empresa de ciberseguridad Sophos, que ha vinculado a Handala al Ministerio de Inteligencia de Irán.
“Una de las características es la posibilidad de borrar de forma remota un dispositivo si se pierde/robaba, etc. Parece que lo activaron para algunos o todos los dispositivos inscritos”, dijo.
Sitio web de Microsoft describe la función de borrado remoto como “que se utiliza habitualmente cuando un dispositivo debe retirarse, reutilizarse, restablecerse para resolver problemas o borrarlo de forma segura si se pierde o se roba”.
En un comunicado en su sitio web el miércoles, Stryker dijo que la interrupción se debió a un ciberataque, pero que sus propios sistemas no fueron pirateados directamente y que el ransomware, un tipo común de ciberdelito que también puede interrumpir significativamente las redes de las empresas, no fue un factor.
“Stryker está experimentando una interrupción de la red global en nuestro entorno de Microsoft como resultado de un ciberataque. No tenemos ningún indicio de ransomware o software malicioso y creemos que el incidente está contenido”, dice el comunicado.
La empresa no respondió a una solicitud de mayor detalle. Microsoft no respondió a una solicitud de comentarios.
