O fabricante norte-americano de dispositivos médicos Stryker, uma das maiores empresas mundiais no fornecimento de equipamentos hospitalares, foi atingido por um ciberataque de grande escala que terá provocado a paragem global de vários sistemas internos. A própria empresa descreveu o incidente como uma “disrupção sever”” da rede, afetando todo o ambiente Windows e os equipamentos ligados à infraestrutura de TI da empresa.

O ataque foi reivindicado por um grupo hacktivista iraniano conhecido como Handala, que terá deixado mensagens e imagens em páginas internas da empresa após comprometer contas administrativas. Segundo os próprios atacantes, mais de 200 mil servidores, sistemas e dispositivos de funcionários teriam sido atingidos, muitos deles apagados através de um ataque do tipo wiper depois de mais de 50 terabytes de dados teriam sido exfiltrados. Estas alegações ainda não foram confirmadas de forma independente, mas vários relatos de trabalhadores em fóruns online e no reddit indicam que a empresa sofreu uma interrupção generalizada das operações.

Funcionários em países como Estados Unidos, Irlanda, Austrália e Índia relataram que não conseguiam iniciar sessão em sistemas, usar aplicações internas ou simplesmente aceder aos servidores do centro de dados. Em vários casos, computadores e telemóveis ligados à rede da empresa terão sido reiniciados remotamente ou apagados, incluindo dispositivos pessoais que estavam inscritos nas plataformas corporativas de gestão móvel. Alguns trabalhadores indicaram que perderam dados pessoais armazenados nos seus telemóveis e que deixaram de conseguir autenticar-se nos sistemas porque utilizavam esses dispositivos para autenticação multifator (MFA).

A Stryker emprega cerca de 56 mil pessoas em todo o mundo e fabrica equipamentos cirúrgicos, sistemas de imagem médica, desfibrilhadores, camas hospitalares e próteses ortopédicas. A empresa também fornece tecnologia médica ao Departamento de Defesa dos Estados Unidos, tendo assinado contratos superiores a 675 milhões de dólares com a Defense Logistics Agency para fornecer equipamentos utilizados no tratamento de militares feridos.

O grupo Handala afirma que o ataque foi realizado como retaliação por acontecimentos recentes ligados à ofensiva militar dos Estados Unidos e de Israel contra o Irão. Esta justificação insere-se num contexto mais amplo de ciberguerra associada a conflitos militares, em que empresas privadas passam a ser consideradas alvos legítimos por atores estatais ou grupos alinhados com esses estados.

O tipo de ataque alegadamente utilizado (um wiper)( é particularmente destrutivo. Ao contrário do ransomware, cujo objetivo é extorquir dinheiro, os wipers procuram apagar sistemas e tornar infraestruturas inutilizáveis. Este método já foi utilizado em várias campanhas atribuídas ao Irão, incluindo o ataque Shamoon de 2012 que destruiu mais de 30 mil computadores da petrolífera Saudi Aramco. Wipers também foram utilizados pela Rússia contra a Ucrânia (NotPetya) e pela Coreia do Norte no ataque à Sony Pictures em 2014.

O incidente ocorre num momento em que o Corpo de Guardas da Revolução Islâmica do Irão (IRGC) tem vindo a avisar que empresas norte-americanas ligadas à tecnologia usada em operações militares são alvos legítimos do seu “cibercorppo”. Entre as potenciais infraestruturas referidas estão plataformas de computação em nuvem e empresas tecnológicas como Google, Microsoft, IBM, Nvidia, Oracle ou Palantir.

Este episódio ilustra um fenómeno cada vez mais evidente: conflitos geopolíticos estão a transbordar para o ciberespaço e a atingir organizações privadas em todo o mundo, muitas vezes sem qualquer ligação direta ao conflito.

Para as organizações portuguesas este tipo de incidentes deixa algumas lições claras:

1. É essencial assumir que empresas civis podem tornar-se danos colaterais de conflitos internacionais, sobretudo quando utilizam plataformas tecnológicas partilhadas ou quando integram cadeias de fornecimento globais baseadas nos EUA.

2. As organizações devem preparar-se para ataques destrutivos e não apenas para ransomware, garantindo cópias de segurança offline, procedimentos de recuperação testados e capacidade de reconstrução rápida de sistemas.

3. Deve existir uma segmentação rigorosa das redes, limitando a possibilidade de um atacante com privilégios administrativos comprometer toda a infraestrutura.

4. É importante rever a gestão de dispositivos móveis e de autenticação multifator, evitando que a perda de um telemóvel corporativo ou inscrito em sistemas empresariais bloqueie completamente o acesso a contas críticas.

5. Por fim, as organizações portuguesas devem reforçar os seus mecanismos de monitorização e resposta a incidentes, manter planos de continuidade e acompanhar de perto a evolução da ameaça proveniente de atores ligados a conflitos internacionais, porque a experiência recente demonstra que a distância geográfica já não protege ninguém no ciberespaço e Portugal, com o uso consentido da base das Lajes não está assim tão longe do epicentro do conflito.