La empresa de tecnología médica Stryker dice que ha vuelto a estar “plenamente operativa”, tres semanas después de convertirse en la víctima más destacada hasta la fecha de los piratas informáticos iraníes, quienes dijeron que atacaron a la empresa con sede en Michigan en represalia por el conflicto con Estados Unidos e Israel.

Un ataque del 11 de marzo por parte del grupo pro palestino vinculado al gobierno iraní Handala dañó el procesamiento de pedidos, la fabricación y el envío de la empresa. Más recientemente, Handala afirmó haber comprometido los datos del director del FBI, Kash Patel, aunque el FBI dijo que no se tomó información del gobierno.

«La producción avanza rápidamente hacia la capacidad máxima con disciplina y estabilidad, respaldada por sistemas comerciales, de pedidos y de distribución restaurados», escribió la compañía en una actualización en su sitio web el miércoles. «El suministro general de productos se mantiene saludable, con una fuerte disponibilidad en la mayoría de las líneas de productos, mientras continuamos satisfaciendo la demanda de los clientes y apoyando la atención al paciente».

Stryker dijo que continúa trabajando con expertos cibernéticos externos, agencias gubernamentales y socios de la industria en su investigación y recuperación.

«La atención al paciente sigue siendo nuestra máxima prioridad, con un enfoque continuo en apoyar a los proveedores de atención médica y a los pacientes a los que atienden», dijo. «Este sigue siendo un esfuerzo 24 horas al día, 7 días a la semana y la primera prioridad de toda nuestra organización».

Los piratas informáticos iraníes han estado ocupados desde que comenzaron los ataques entre Estados Unidos e Israel, pero han obtenido pocos éxitos en Estados Unidos. Handala se jactó esta semana de un ataque en el condado de St. Joseph, Indiana, donde las autoridades dijeron ellos estaban investigando un hack de su servicio de fax externo.

Esta semana, Handala también reclamó haber penetrado los sistemas de defensa aérea de Israel y filtrado documentos al respecto. Pero Handala también ha sido acusada de exagerando sus hechos.

El FBI incautaron algunos sitios web asociado con Handala el mes pasado, y el Departamento de Estado ha ofrecido una recompensa por información sobre el grupo de hackers.

Los actores de amenazas con vínculos con Irán irrumpieron con éxito en la cuenta de correo electrónico personal de Kash Patel, director de la Oficina Federal de Investigaciones (FBI) de Estados Unidos, y filtraron un alijo de fotografías y otros documentos a Internet.

Handala Hack Team, que llevó a cabo la violación, dijo en su sitio web que Patel «ahora encontrará su nombre entre la lista de víctimas pirateadas con éxito». En una declaración compartida con Reuters, el FBI confirmado Los correos electrónicos de Patel habían sido atacados y señalaron que se habían tomado las medidas necesarias para «mitigar los riesgos potenciales asociados con esta actividad».

La agencia también dijo que los datos publicados eran «de naturaleza histórica y no involucran información gubernamental». La filtración incluye correos electrónicos de 2010 y 2019 supuestamente enviados por Patel.

Se considera que Handala Hack es una persona hacktivista pro-iraní y pro-palestina adoptada por el Ministerio de Inteligencia y Seguridad de Irán (MOÍS). La comunidad de ciberseguridad lo rastrea bajo los apodos Banished Kitten, Cobalt Mystique, Red Sandstorm y Void Manticore, y el grupo también opera otra persona llamada Homeland Justice para apuntar a entidades albanesas desde mediados de 2022.

Una tercera persona vinculada al adversario afiliado a MOIS es Karma, que se dice que probablemente fue reemplazado por completo por Handala Hack desde finales de 2023.

Los datos recopilados por StealthMole han reveló que la presencia en línea de Handala se extiende más allá de las plataformas de mensajería y foros sobre delitos cibernéticos como BreachForums para dar a conocer sus actividades, manteniendo una infraestructura en capas que incluye dominios web superficiales, servicios alojados en Tor y plataformas externas de alojamiento de archivos como MEGA.

«Handala se ha dirigido constantemente a proveedores de servicios y TI en un esfuerzo por obtener credenciales, confiando en gran medida en cuentas VPN comprometidas para el acceso inicial», Check Point dicho en un informe publicado este mes. «A lo largo de los últimos meses, identificamos cientos de intentos de inicio de sesión y de fuerza bruta contra la infraestructura VPN organizacional vinculada a la infraestructura asociada a Handala».

Se sabe que los ataques montados por el grupo de proxy aprovechan RDP para el movimiento lateral e inician operaciones destructivas al eliminar familias de malware de limpieza como Handala Wiper y Handala PowerShell Wiper a través de scripts de inicio de sesión de Política de grupo. También se utilizan utilidades legítimas de cifrado de discos como VeraCrypt para complicar los esfuerzos de recuperación.

«A diferencia de los grupos cibercriminales motivados financieramente, la actividad asociada a Handala históricamente ha enfatizado la disrupción, el impacto psicológico y las señales geopolíticas», Flashpoint dicho. «Las operaciones atribuidas a la persona con frecuencia se alinean con períodos de elevada tensión geopolítica y, a menudo, apuntan a organizaciones con valor simbólico o estratégico».

El desarrollo viene en el contexto de la Conflicto Estados Unidos-Israel-Iránlo que llevó a Irán a lanzar una ciberofensiva de represalia contra objetivos occidentales. En particular, Handala Hack crédito reclamado por paralizar las redes del proveedor de servicios y dispositivos médicos Stryker al eliminar una gran cantidad de datos de la empresa y borrar miles de dispositivos de los empleados. El ataque es el primero confirmado Operación destructiva de limpieza dirigida a una empresa estadounidense Fortune 500.

En una actualización publicada en su sitio web esta semana, Stryker dicho «El incidente está contenido», y agregó que «reaccionó rápidamente no sólo para recuperar el acceso sino también para eliminar a la parte no autorizada de nuestro entorno» desmantelando los mecanismos de persistencia instalados. El incumplimiento, afirmó, fue confinado a su entorno interno de Microsoft.

Se ha descubierto que los actores de amenazas utilizan un archivo malicioso para ejecutar comandos que les permitieron ocultar sus acciones. Sin embargo, el archivo no posee ninguna capacidad para propagarse a través de la red, señaló Stryker.

Unidad 42 de Palo Alto Networks dicho El vector principal de las recientes operaciones destructivas de Handala Hack probablemente implica la «explotación de la identidad mediante phishing y acceso administrativo». a través de Microsoft Intune.» Hudson Rock tiene encontró evidencia de que las credenciales comprometidas asociadas con la infraestructura de Microsoft obtenidas a través de malware de robo de información pueden haberse utilizado para llevar a cabo el ataque.

A raíz de la infracción, ambos microsoft y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) han publicado una guía sobre cómo fortalecer los dominios de Windows y fortalecer Intune para defenderse contra ataques similares. Esto incluye utilizar el principio de privilegio mínimo, aplicar la autenticación multifactor (MFA) resistente al phishing y habilitar la aprobación de múltiples administradores en Intune para cambios sensibles.

Flashpoint ha caracterizado el ataque a Stryker como un cambio peligroso en las amenazas a la cadena de suministro, ya que la actividad cibernética vinculada al estado dirigida a proveedores críticos y de logística puede tener impactos en cascada en todo el ecosistema de atención médica.

La filtración de Handala Hack de los correos electrónicos personales de Patel se produce en respuesta a una operación autorizada por el tribunal que condujo a la incautación de cuatro dominios operados por MOIS desde 2022 como parte de un esfuerzo por interrumpir sus actividades maliciosas en el ciberespacio. El gobierno de Estados Unidos también ofreciendo una recompensa de 10 millones de dólares para obtener información sobre los miembros del grupo. Los nombres de los dominios incautados se enumeran a continuación:

• justiciapatria[.]organización
• hackear handala[.]a
• karmabelow80[.]organización
• handala-redwanted[.]a

«Los dominios incautados […] fueron utilizados por el MOIS para promover intentos de operaciones psicológicas dirigidas a adversarios del régimen al reclamar crédito por actividades de piratería, publicar datos confidenciales robados durante dichos ataques y pedir el asesinato de periodistas, disidentes del régimen y personas israelíes», dijo el Departamento de Justicia de EE.UU. (DoJ) dicho.

Esto incluía los nombres y la información confidencial de aproximadamente 190 personas asociadas o empleadas por las Fuerzas de Defensa de Israel (FDI) y/o el gobierno israelí, y 851 GB de datos confidenciales de miembros de la comunidad judía jasídica Sanzer. Además, una dirección de correo electrónico vinculada al grupo («handala_team@outlook[.]com») supuestamente se utilizó para enviar amenazas de muerte a disidentes y periodistas iraníes que viven en Estados Unidos y otros lugares.

En un aviso separado, el FBI reveló que Handala Hack y otros actores cibernéticos de MOIS han empleado tácticas de ingeniería social para interactuar con posibles víctimas en aplicaciones de mensajería social para entregar malware de Windows capaz de permitir el acceso remoto persistente utilizando un bot de Telegram al enmascarar la carga útil de la primera etapa como programas de uso común como Pictory, KeePass, Telegram o WhatsApp.

El uso de Telegram (u otros servicios legítimos) como C2 es una táctica común de los actores de amenazas para ocultar la actividad maliciosa entre el tráfico normal de la red y reducir significativamente la probabilidad de detección. Los artefactos de malware relacionados encontrados en dispositivos comprometidos han revelado capacidades adicionales para grabar audio y pantalla mientras una sesión de Zoom estaba activa. Los ataques han tenido como objetivo a disidentes, grupos de oposición y periodistas, según el FBI.

«Los ciberactores de MOIS son responsables de utilizar Telegram como infraestructura de comando y control (C2) para impulsar malware dirigido a disidentes iraníes, periodistas opuestos a Irán y otros grupos de oposición en todo el mundo», dijo la oficina. dicho. «Este malware resultó en la recopilación de inteligencia, fugas de datos y daños a la reputación de las partes objetivo».

Handala Hack tiene desde que resurgió en un dominio clearnet diferente, «handala-team[.]», donde describió las incautaciones de dominio como «intentos desesperados de Estados Unidos y sus aliados para silenciar la voz de Handala».

El conflicto en curso también tiene provocó nuevas advertencias que corre el riesgo de convertir a los operadores del sector de infraestructura crítica en objetivos lucrativos, incluso cuando ha desencadenado un aumento en ataques DDoS, desfiguraciones del sitio weby operaciones de pirateo y filtración contra Israel y Organizaciones occidentales. Las entidades hacktivistas también han comprometido en operaciones psicológicas y de influencia con el objetivo de sembrar miedo y confusión entre las poblaciones objetivo.

En las últimas semanas, se ha observado que un grupo cibercriminal relativamente nuevo llamado Nasir Security tiene como objetivo el sector energético en Medio Oriente. «El grupo está atacando a los proveedores de la cadena de suministro involucrados en ingeniería, seguridad y construcción», Resecurity dicho. «Los ataques a la cadena de suministro atribuidos a Nasir Security probablemente sean llevados a cabo por cibermercenarios o individuos contratados o patrocinados por Irán o sus representantes».

«La actividad cibernética vinculada a este conflicto se está volviendo cada vez más descentralizada y destructiva», dijo en un comunicado Kathryn Raines, líder del equipo de inteligencia de amenazas cibernéticas de National Security Solutions en Flashpoint.

«Grupos como Handala y Fatimion están apuntando a organizaciones del sector privado con ataques diseñados para borrar datos, interrumpir servicios e introducir incertidumbre tanto para las empresas como para el público. Al mismo tiempo, estamos viendo un mayor uso de herramientas administrativas legítimas en estas operaciones cibernéticas, lo que hace que sea mucho más difícil de detectar para los controles de seguridad tradicionales».

Eso no es todo. Los actores vinculados a MOIS se han involucrado cada vez más con el ecosistema de delitos cibernéticos para respaldar sus objetivos y brindar cobertura a su actividad maliciosa. Esto incluye la integración por parte de Handala del ladrón Rhadamanthys en sus operaciones y el uso por parte de MuddyWater de la botnet Tsundere (también conocida como Dindoor) y Fakeset, el último de los cuales es un descargador utilizado para entregar CastleLoader.

«Dicho compromiso ofrece una doble ventaja: mejora las capacidades operativas a través del acceso a herramientas criminales maduras y a una infraestructura resistente, al tiempo que complica la atribución y contribuye a la confusión recurrente en torno a la actividad de amenaza iraní», Check Point dicho.

«El uso de tales herramientas ha creado una confusión significativa, lo que lleva a atribuciones erróneas y pivotamientos defectuosos, y a agrupar actividades que no están necesariamente relacionadas. Esto demuestra que el uso de software criminal puede ser efectivo para la ofuscación y resalta la necesidad de extrema precaución al analizar grupos superpuestos».

Los funcionarios cibernéticos federales no están viendo un cambio significativo en los ataques vinculados a Irán desde que comenzó el conflicto, al menos no todavía, pero están atentos a cualquier repunte y se están centrando en el ataque Stryker en particular.

Terry Kalka, director del Entorno de Intercambio de Información Colaborativo de la Base Industrial de Defensa en el Centro de Delitos Cibernéticos del Departamento de Defensa, dijo el jueves que «hay algunos indicadores básicos, hay algunas tácticas, técnicas y procedimientos conocidos», pero «todavía no estamos viendo una enorme cantidad de impacto».

Ese sentimiento se alinea con lo que el director interino de la Agencia de Seguridad de Infraestructura y Ciberseguridad, Nick Andersen, dijo a los periodistas el martes: «Todavía estamos viendo un estado estable. No hemos visto un aumento ni ningún aumento en la actividad de los actores de amenazas».

Pero ambos hombres dijeron que están monitoreando para ver si eso cambia. «Estamos muy alerta ante, si no Irán, actores influenciados por Irán», dijo Kalka a CyberScoop en la Cumbre del Sector Público Elastic.

El jueves, CISA recomendaciones emitidas vinculado al ciberataque de este mes contra el fabricante de dispositivos médicos Stryker, la actividad cibernética más llamativa con vínculos con Irán después de que un grupo de hackers iraní conocido como Handala se atribuyera el crédito por el ataque.

CISA instó a las organizaciones a mejorar sus defensas de los sistemas de gestión de terminales después de que el ataque provocara interrupciones globales en el entorno Microsoft de Stryker. CISA hizo varias recomendaciones, incluida la de configurar salvaguardas en la herramienta de administración de terminales Intune de Microsoft.

Stryker tiene contratos con el Departamento de Defensa.

«Todos estamos prestando atención al incidente de Stryker que estalló la semana pasada, porque tiene implicaciones para la tecnología de las comunicaciones y la información privada o corporativa que, incluso si no es información de defensa, obtener acceso al correo electrónico de alguien y comprender la infraestructura de la empresa es muy, muy útil», dijo Kalka.

Andersen dijo que CISA ha estado en contacto con Stryker, al igual que el FBI. El jueves se informó que el FBI y el Departamento de Justicia eliminó dos sitios web vinculado a Handala.

Andersen dijo, sin embargo, que el enfoque de la agencia no cambia mucho debido al conflicto.

«Simplemente no podemos quitar la vista del hecho de que otros adversarios continúan realizando maniobras en este espacio», dijo en un evento organizado por el Instituto McCrary de la Universidad de Auburn. «Los grupos cibercriminales continúan avanzando en este espacio. No se trataba sólo de un estado-nación en un momento determinado. Vemos una motivación persistente en todos los ámbitos para que las personas puedan aprovechar las debilidades cibernéticas en toda la infraestructura crítica y nuestros entornos de TI tradicionales».

CISA ha despedido a cientos de empleados mientras el Congreso continúa un enfrentamiento sobre la financiación para el Departamento de Seguridad Nacional sobre la administración Trump enfoque de aplicación de la ley de inmigración.

Un ciberataque que afirmó un grupo de hackers iraní se llevó a cabo contra el fabricante de dispositivos médicos Stryker podría marcar la primera acción cibernética significativa de Teherán desde el inicio del conflicto conjunto entre Estados Unidos e Israel.

Pero incluso eso puede haber sido un feliz accidente para los piratas informáticos iraníes en lo que ha sido un bajo nivel de actividad durante ese período de tiempo, con los atacantes obteniendo ganancias por casualidad y no a propósito.

Las empresas de ciberseguridad, los rastreadores de inteligencia de amenazas y los propietarios de infraestructuras críticas han estado luchando para separar el ruido sobre los ataques proclamados desde Irán y las advertencias y amenazas relacionadas con el conflicto, de lo que realmente está sucediendo y representa un peligro significativo.

“Todo el mundo está luchando en este momento”, dijo Alex Orleans, analista de amenazas de Irán desde hace mucho tiempo y jefe de inteligencia de amenazas de Sublime Security. Otros dijeron que la naturaleza incipiente del conflicto dificulta las evaluaciones.

«Lo que vemos es bastante difícil de cuantificar o caracterizar sobre si ha habido un aumento o una disminución», dijo Saher Naumaan, investigador senior de amenazas en Proofpoint. «Creo que como solo llevamos un par de semanas en el conflicto y la cadencia regular de los actores iraníes no es muy consistente, necesariamente no tenemos suficientes datos ni suficiente tiempo para juzgar realmente».

Signos de actividad

En los primeros días del conflicto, hubo indicios de que ataques fisicos sobre Irán podría haber obstaculizado los esfuerzos de represalia iraníes u otras actividades cibernéticas, ya que aquellos que llevarían a cabo ataques cibernéticos probablemente estaban «escondidos en búnkeres», dijo Orleans, y como Irán sufrió cortes de internet.

Sin embargo, en los últimos días, el ataque Stryker y otros indicadores sugieren que la actividad cibernética iraní podría estar calentándose.

«Durante varios días después del estallido del conflicto, se notó una disminución en la actividad de amenazas cibernéticas provenientes de Irán», dijo un grupo de centros de análisis e intercambio de información de la industria. advirtió el miércoles. «Sin embargo, hay señales de vida en las operaciones cibernéticas ofensivas iraníes».

El ataque de Stryker destaca tanto por el tamaño como por la ubicación del objetivo, un fabricante de dispositivos médicos con sede en Michigan con más de 25 mil millones de dólares en ingresos en 2025.

Pero tanto Orleans como Sergey Shykevich, gerente del grupo de inteligencia de amenazas en Check Point Research, dijeron que el ataque tiene las características de ser oportunista en lugar de uno deliberado y enfocado. El grupo que se atribuye el mérito del ataque, Handala, un equipo vinculado al Ministerio de Inteligencia, es más conocido por aprovechar las debilidades que encuentra en lugar de hacerlo. persiguiendo obstinadamente objetivos particulares.

En particular, Stryker también es la clase de vehículo militar utilizado por las fuerzas estadounidenses. Esa conexión militar, incluso si se confunde con el fabricante de dispositivos médicos, posiblemente podría explicar por qué la empresa era un objetivo.

Aún así, “fue un ataque de mucho mayor perfil de lo que esperábamos de Handala”, dijo Shykevich. «Desafortunadamente, se puede definir como un éxito relativamente grande para ellos».

Ha habido informes de otras actividades cibernéticas que podrían estar relacionadas con el conflicto. Albania dijo el sistema de correo electrónico de su parlamento había sido atacado, y los piratas informáticos iraníes se habían atribuido el mérito. Estaba el orientación de cámaras de infraestructura vinculada a Irán en países a los que Irán luego lanzó misiles. Polonia dijo que era mirando hacia si Irán estuvo detrás de un intento de ciberataque a una instalación de investigación nuclear.

Algunas de las afirmaciones no coinciden con la realidad. «Hay muchos grupos hacktivistas que son muy activos en Telegram, pero en realidad no tienen ningún éxito significativo», dijo Shykevich.

También hay otros acontecimientos relacionados con la cibernética en el conflicto, como el espionajela proliferación de desinformación impulsada por la inteligencia artificial y la posibilidad de que Rusia o China ayudando en el ciberespacio en nombre de Irán, incluso si algunos expertos dudan de la probabilidad de que esto último ocurra.

Aún no está claro qué tan efectivo ha sido todo esto. Stryker, por ejemplo, dijo el ataque afectó principalmente a sus redes internas, aunque había señales También podría estar afectando las comunicaciones en los hospitales.

Pero el daño podría no venir al caso. Orleans dijo que los ataques podrían ser de naturaleza psicológica, destinados a producir miedo en el extranjero y afirmar la posición de los piratas informáticos ante los líderes nacionales en Irán durante el conflicto.

Incluso la desfiguración de bajo nivel o los ataques distribuidos de denegación de servicio pueden influir.

“Llegar al trabajo y encontrar una bandera iraní en su estación de trabajo sería un poco desconcertante, porque le hacen saber que 'puedo extender la mano y tocarlo'”, dijo Sarah Cleveland, directora senior de estrategia federal en ExtraHop y ex oficial cibernética de la Fuerza Aérea de EE. UU.

Posibles impactos posteriores

Si bien se la conoce principalmente como una empresa de suministros médicos, Stryker ha recibido contratos importantes con el ejército para equipos hospitalarios y suministros quirúrgicos, por ejemplo. No está claro si los piratas informáticos pretendían utilizar la conexión militar de Stryker para explotar los sistemas gubernamentales.

El Pentágono tiene advertido durante mucho tiempo de ciberataques cada vez mayores y complejos contra la base industrial de defensa, una vasta red de empresas -con niveles dispares de ciberseguridad- de las que depende el ejército para obtener desde armamento avanzado hasta camillas básicas. El DIB es a menudo visto por los adversarios como puerta trasera a los sistemas militares.

Si bien no abordó directamente el hackeo de Stryker, el principal asesor cibernético del Ejército, Brandon Pugh, describió algunos de los desafíos que enfrenta el DIB y la parte del servicio al tratar de protegerlo durante un seminario web el jueves en respuesta a una pregunta sobre el tema.

Dijo que los adversarios, «con razón o sin ella», ven a las empresas «como una extensión del ejército» y creen que un ataque a la industria privada tendría un impacto secundario en las fuerzas armadas.

«Algunas son empresas multinacionales muy grandes y sofisticadas», dijo, señalando que las necesidades de seguridad en todo el DIB no son universales. «Otras son empresas muy pequeñas que tienen suerte de tener un director de TI, y mucho menos un equipo cibernético sofisticado, y creo que ahí es donde es realmente importante apoyarse».

Pugh dijo que agencias de todo el gobierno federal han estado trabajando con el DIB para aumentar su resistencia a los ataques, y que el esfuerzo cibernético del Ejército enfatiza afianzar la ciberseguridad desde el comienzo del proceso de adquisición.

«Lo cibernético no puede ser una ocurrencia tardía, no digo que lo sea», añadió Pugh. “Yo diría que el Ejército hace un gran trabajo aquí, pero asegurándose de que nunca se olvide y siempre se lo considere de esa manera”.

Matt Tait, director ejecutivo y presidente de MANTECH, dijo en respuesta a una pregunta sobre el ataque Stryker y las protecciones DIB que defenderse contra tales incidentes incluye aprovechar los acuerdos y el acceso gubernamentales, como con la NSA, y compartir información rápidamente después de un ataque.

«Para mí, se trata de compartir información en tiempo real», dijo. “Cuando te atacan, necesitas compartir información en tiempo real para poder compartir esa información con el resto de la industria, así como con el gobierno, porque ellos pueden compartir esa información entre” entidades federales de ciberseguridad.

«Si quieres realizar un trabajo tecnológico centrado en una misión, este es el mundo en el que tienes que vivir y deberías compartir esta información en tiempo real», añadió. «24 horas después, 48 ​​horas después, llamo a esa ambulancia que me persigue. Eso es demasiado posterior al hecho desde una perspectiva cibernética».