מתקפת Stryker: כיצד האקרים מחקו 200,000 מכשירים ב-79 מדינות — בלי נוזקה

<p>מתקפת Stryker: כיצד האקרים איראנים מחקו 200,000 מכשירים ב-79 מדינות — בלי שורת קוד זדונית אחת</p> <p>ב-11 במרץ 2026, ענקית הציוד הרפואי <strong>Stryker Corporation</strong> הפכה לקורבן של מתקפת סייבר חסרת תקדים. קבוצת "Handala", הפועלת בזיקה לאיראן, לא נזקקה לתוכנה זדונית, לא הפעילה כופרה ולא ניצלה חולשת Zero-Day. במקום זאת, היא <strong>השמידה מערך IT שלם תוך שימוש בכלים הלגיטימיים של הארגון עצמו</strong> — וכתבה מחדש את ספר הכללים של עולם הסייבר.</p> <h2>האנטומיה של מתקפה ללא נוזקה</h2> <h3>שלב 1: השתלטות על הרשאת העל</h3> <p>התוקפים השיגו גישת <strong>Global Administrator</strong> לסביבת Microsoft 365 של Stryker — הרשאת-העל שמקנה שליטה מלאה על כל מערכות הארגון. ברגע שזו הייתה בידיהם, לא נדרש שום כלי פריצה מתוחכם.</p> <h3>שלב 2: הנשק הלגיטימי — Microsoft Intune הופך למכונת הרס</h3> <p><strong>Microsoft Intune</strong> הוא כלי ניהול מרחוק של מכשירים (MDM/EMM), המשמש ארגונים לביצוע עדכוני תוכנה, אכיפת מדיניות אבטחה — וגם <strong>מחיקה מרחוק של מכשירים אבודים או גנובים.</strong></p> <p>התוקפים הפעילו את פקודת ה-<strong>Remote Wipe</strong> הלגיטימית של Intune, אלא שעשו זאת בקנה מידה הרסני. מאות אלפי מכשירים — מחשבים ניידים ארגוניים, שרתים, ואף טלפונים אישיים של עובדים שהיו רשומים בתוכנית BYOD — <strong>נמחקו לחלוטין.</strong></p> <h3>שלב 3: גניבת מידע וסימון טריטוריה</h3> <p>לפני שהפעילו את גל ההרס, התוקפים הספיקו — לטענתם — לגנוב כ-<strong>50 טרה-בייט של נתונים</strong>: מסמכים פנימיים, מידע רפואי, תוכניות עסקיות ונתוני לקוחות. לאחר מכן, דפי הכניסה של עובדי Stryker הוחלפו בלוגו של Handala.</p> <h2>סדר הגודל: 79 מדינות, למעלה מ-200,000 מכשירים</h2> <p>ההשפעה של המתקפה הייתה רחבת-היקף ומיידית:</p> <ul> <li><strong>למעלה מ-200,000 מערכות נמחקו</strong> — מחשבים ניידים, שרתים ומכשירים ניידים</li> <li><strong>79 מדינות</strong> ברחבי העולם הושפעו מההשבתה</li> <li>מערכות ההזמנה, הייצור והמשלוח של Stryker <strong>הושבתו לחלוטין</strong></li> <li>בתי חולים שנסמכו על שרשרת האספקה של Stryker נאלצו להיערך לתרחישי חירום</li> <li>החברה הבהירה כי בטיחות המטופלים לא נפגעה, והמכשירים הרפואיים עצמם נותרו בטוחים לשימוש</li> </ul> <h2>הלקחים הקריטיים: מדוע חומת האש שלכם כבר לא מספיקה</h2> <h3>1. "הנוזקה" הגדולה ביותר — כבר מותקנת אצלכם</h3> <p>כלים כמו Intune, SCCM, Active Directory ו-Group Policy הופכים ל<strong>נשק</strong> בידיים עוינות. ארגונים חייבים להתייחס לכלי הניהול שלהם כאל נכס קריטי ורגיש ברמה הגבוהה ביותר.</p> <h3>2. חשבון Global Admin = מפתח גרעיני</h3> <p>גישת מנהל-על מרכזית אחת, המשמשת לכל הפעולות — <strong>היא מתכון לאסון.</strong> ההנחיות שפרסמה CISA בעקבות המתקפה כוללות: * <strong>עיקרון ההרשאה המינימלית (Least Privilege):</strong> הקצו רק את ההרשאות ההכרחיות ביותר * <strong>אימות רב-שלבי עמיד לפישינג:</strong> שימוש במפתחות FIDO2 או Passkeys — לא הסתפקות ב-SMS * <strong>אישור רב-מנהלים (Multi-Admin Approval):</strong> דרישת אישור ממספר מנהלים לביצוע פעולות רגישות כמו מחיקת מכשירים * <strong>הפרדת סביבות:</strong> חשבון ניהול ייעודי, שאינו משמש לגלישה יומיומית או לדואר אלקטרוני</p> <h3>3. BYOD — חרב פיפיות</h3> <p>עובדים שרשמו את הטלפונים האישיים שלהם בתוכנית BYOD גילו שגם הם <strong>נמחקו לחלוטין</strong>, יחד עם מכשירי החברה. תמונות משפחתיות, אנשי קשר, אפליקציות בנקאות — הכול נעלם. ארגונים חייבים לעדכן את מדיניות ה-BYOD שלהם ולהבחין בין מחיקה של נתונים ארגוניים בלבד לבין מחיקת מכשיר מלאה.</p> <h3>4. תוכנית גיבוי והתאוששות — לא מותרות, אלא חובה קיומית</h3> <p>ארגון שמאבד 200,000 מכשירים ביום אחד חייב תוכנית <strong>DR (Disaster Recovery)</strong> ו-<strong>BCP (Business Continuity Plan)</strong> שנבדקת ומתורגלת באופן סדיר.</p> <h2>כיצד להגן על הארגון שלכם — רשימת פעולות מיידית</h2> <ul> <li>[ ] בדקו מי מחזיק בהרשאות Global Admin ו-Intune Admin — צמצמו למינימום ההכרחי</li> <li>[ ] הפעילו אימות רב-שלבי עמיד לפישינג (FIDO2) על כל חשבון ניהולי</li> <li>[ ] הגדירו אישור רב-מנהלים (Multi-Admin Approval) לפעולות מחיקה ועדכון נרחבות</li> <li>[ ] הפרידו בין חשבונות ניהול לחשבונות עבודה שוטפים</li> <li>[ ] עדכנו את מדיניות ה-BYOD — הגבילו את יכולת המחיקה לנתונים ארגוניים בלבד</li> <li>[ ] ערכו תרגיל DR הכולל תרחיש של מחיקה מאסיבית של מכשירים</li> <li>[ ] הפעילו ניטור חריגות על פקודות Intune — כולל התראה מיידית על פקודות מחיקה בהיקף חריג</li> </ul> <hr /> <p><em>צוות אבטחת המידע של Bartech One מבצע סקרי סיכונים, מקשיח סביבות Microsoft 365 ובונה תוכניות התאוששות מאסון עבור ארגונים בכל סדר גודל. מתקפת Stryker היא תזכורת כואבת: ההגנה האפקטיבית ביותר מתחילה מבפנים. <a href="https://bartech.one/#contact">בואו נדבר.</a></em></p>