Grupo iraní respaldado por el Estado ataca con malware a Stryker, gigante de tecnología médica

Un grupo iraní respaldado por el Estado ataca a Stryker con un wiper

Un colectivo de hacktivistas con vínculos a los servicios de inteligencia de Irán ha reivindicado la autoría de un ciberataque masivo contra Stryker, multinacional estadounidense especializada en tecnología médica. El grupo, conocido como Handala (también llamado Handala Hack Team), asegura haber borrado datos en más de 200.000 sistemas, servidores y dispositivos móviles en 79 países, obligando al cierre temporal de sus oficinas.

Evacuación en Irlanda y emergencia en Michigan

Según informaciones locales, Stryker, cuya mayor sede fuera de EE.UU. está en Irlanda, evacuó a más de 5.000 trabajadores en el país. Mientras, en la sede central de Michigan, un mensaje de voz indicaba una "emergencia en el edificio", impidiendo la comunicación con la empresa.

Motivación política: represalia por un ataque con misiles

En un comunicado publicado en Telegram, Handala justificó el ataque como represalia por el bombardeo con misiles del 28 de febrero contra una escuela iraní, que causó la muerte de al menos 175 personas, en su mayoría niños. El grupo afirmó que los datos obtenidos se pondrán a disposición de la comunidad internacional para "exponer injusticias y corrupción".

Según Palo Alto Networks, Handala está vinculado al Ministerio de Inteligencia y Seguridad de Irán (MOIS) y forma parte de las operaciones de Void Manticore, una unidad afiliada a este organismo. El colectivo surgió a finales de 2023 y ha sido identificado como uno de los actores cibernéticos más activos en la región.

Impacto en las operaciones de Stryker

La empresa, que emplea a 56.000 personas en 61 países, ha visto paralizadas sus comunicaciones internas. Fuentes consultadas por el Irish Examiner señalaron que los sistemas en su sede de Cork están "bloqueados" y que los dispositivos de los empleados, incluso los personales con Outlook, han sido borrados. Además, las pantallas de inicio muestran el logo de Handala.

Un informante anónimo, citado por KrebsOnSecurity, reveló que los atacantes podrían haber utilizado Microsoft Intune, un servicio en la nube, para ejecutar un "borrado remoto" en todos los dispositivos conectados. Los wiper attacks, como este, suelen emplear malware para sobrescribir datos, pero en este caso se habría aprovechado una herramienta legítima de gestión de dispositivos.

Contexto geopolítico y ciberseguridad

El ataque se enmarca en un aumento de la tensión entre Irán y Occidente, con múltiples incidentes cibernéticos en los últimos meses. Empresas de sectores críticos, como el sanitario, son objetivos recurrentes en este tipo de operaciones. Stryker, que facturó 25.000 millones de dólares en 2023, aún no ha emitido una declaración oficial detallada sobre el incidente.

«Cualquier dispositivo conectado a la red de Stryker ha sido afectado. Incluso los empleados con Outlook en sus teléfonos personales han visto sus dispositivos borrados».