Imagine chegar ao trabalho e descobrir que milhares de computadores e celulares da sua empresa foram formatados remotamente em questão de minutos. Foi exatamente o que aconteceu com a gigante de tecnologia médica Stryker, em um incidente que expôs vulnerabilidades críticas na gestão de dispositivos corporativos.
O ataque à Stryker surpreendeu especialistas por não envolver malware, ransomware ou exploração de vulnerabilidades tradicionais. Em vez disso, os invasores utilizaram privilégios administrativos legítimos dentro do Microsoft Intune, uma ferramenta de gerenciamento de endpoints amplamente adotada por empresas globais. O comando de wipe foi disparado em aproximadamente 80 mil dispositivos, incluindo laptops corporativos e aparelhos pessoais de funcionários, causando impactos operacionais significativos.
Esse caso evidencia os riscos de contas de Administrador Global comprometidas, destacando a importância de monitoramento rigoroso e políticas de segurança aprimoradas para administradores de TI.
O método do ataque: privilégios acima de malware
O ataque à Stryker foi realizado pelo grupo Handala, especializado em ações de Living off the Land, ou seja, utilizando ferramentas legítimas da própria infraestrutura da empresa. Com acesso de Administrador Global, os criminosos conseguiram emitir comandos de wipe em massa sem necessidade de instalar qualquer código malicioso.
A abordagem tornou o ataque mais difícil de detectar, já que a ação parecia uma atividade administrativa legítima dentro do ambiente corporativo da Microsoft.
O papel do Microsoft Intune no incidente
O Microsoft Intune permite que empresas gerenciem dispositivos de forma centralizada, aplicando políticas de segurança, instalando aplicativos corporativos e, crucialmente, realizando apagamentos remotos de dispositivos. Essa funcionalidade, quando explorada por uma conta comprometida, se torna uma arma poderosa, como demonstrou o ataque à Stryker.
O impacto nos dispositivos pessoais (BYOD) dos funcionários
Além dos endpoints corporativos, muitos dispositivos pessoais registrados na plataforma Intune foram apagados. A política BYOD (Bring Your Own Device) permite que funcionários usem seus próprios aparelhos, mas nesse caso aumentou o impacto do ataque. Fotos, documentos e aplicativos pessoais foram perdidos, reforçando a necessidade de estratégias de proteção diferenciadas para dispositivos pessoais conectados a redes corporativas.
Consequências operacionais e a resposta da Stryker
O incidente gerou impactos imediatos na operação da Stryker. Entre as consequências estão:
• Interrupção de sistemas internos e fluxos digitais
• Necessidade de processar pedidos manualmente
• Atrasos na cadeia de suprimentos
Apesar da gravidade, os dispositivos médicos utilizados em hospitais não foram afetados, graças a redes segregadas e controles de acesso específicos para equipamentos críticos.
A Stryker iniciou uma resposta imediata, restaurando dispositivos e revisando todas as contas com privilégios administrativos. O caso também serviu como alerta para a comunidade de TI sobre os riscos de contas globais comprometidas.
Lições de segurança para administradores de TI
O ataque à Stryker reforça que o maior risco em segurança corporativa não está apenas em malware, mas no uso indevido de privilégios legítimos. Algumas medidas fundamentais incluem:
• Autenticação multifator (MFA) para todas as contas administrativas
• Contas separadas para funções administrativas e pessoais
• Monitoramento constante de comandos críticos, como wipe em massa
• Uso do princípio de menor privilégio para limitar acessos
Essas ações reduzem a chance de exploração de contas administrativas e limitam o impacto caso uma credencial seja comprometida.
Conclusão e o futuro da defesa cibernética
O ataque à Stryker via Microsoft Intune exemplifica a crescente tendência de ataques que exploram ferramentas legítimas corporativas. Conhecidos como Living off the Land, esses ataques exigem que empresas revisem suas políticas de gestão de contas privilegiadas e fortaleçam a supervisão de operações críticas.
O incidente reforça que segurança não é apenas tecnologia, mas processos e governança. Administradores de TI e profissionais de segurança devem garantir que comandos administrativos em larga escala sejam rigorosamente monitorados e auditados.