El fabricante médico Stryker sufrió un ciberataque que interrumpió su entorno Microsoft a nivel mundial. El grupo Handala Team reivindicó el ataque, en un contexto geopolítico que apunta a un posible origen iraní. La empresa afirma que no hay evidencias de ransomware, pero la amenaza es grave. El objetivo parece haber sido la paralización operativa, no el beneficio económico.
El posible uso de Intune como arma de interrupción 🛡️
Se investiga si los atacantes utilizaron Microsoft Intune, una herramienta legítima de gestión de dispositivos, para ejecutar un borrado remoto de datos. Este método, conocido como wipe, permite deshabilitar sistemas críticos sin necesidad de malware intrusivo. Al aprovechar una herramienta administrativa, el ataque evita detecciones tradicionales y logra un efecto similar al de un sabotaje físico, pero desde dentro del ecosistema autorizado.
Tu dispositivo se reinició para una actualización de seguridad... eterna 💀
Imagina que el departamento de TI decide aplicar una actualización crítica que, en lugar de parchear, borra todo. Es el sueño húmedo de cualquier administrador de sistemas frustrado, pero ejecutado por actores maliciosos. Usar Intune para esto es como robar una llave maestra de mantenimiento y usarla para soldar todas las puertas. La próxima vez que tu portátil corporativo se reinicie sin aviso, cruzarás los dedos para que sea un parche de Microsoft y no una orden de limpieza desde la nube.