Le fabricant médical Stryker a subi une cyberattaque qui a interrompu son environnement Microsoft à l'échelle mondiale. Le groupe Handala Team a revendiqué l'attaque, dans un contexte géopolitique qui pointe vers une possible origine iranienne. L'entreprise affirme qu'il n'y a pas de preuves de ransomware, mais la menace est grave. L'objectif semble avoir été la paralysation opérationnelle, non un bénéfice économique.
L'utilisation possible d'Intune comme arme de disruption 🛡️
On enquête si les attaquants ont utilisé Microsoft Intune, un outil légitime de gestion des appareils, pour exécuter un effacement à distance des données. Cette méthode, connue sous le nom de wipe, permet de désactiver des systèmes critiques sans besoin de malware intrusif. En exploitant un outil administratif, l'attaque évite les détections traditionnelles et obtient un effet similaire à celui d'un sabotage physique, mais depuis l'intérieur de l'écosystème autorisé.
Votre appareil s'est redémarré pour une mise à jour de sécurité... éternelle 💀
Imaginez que le département TI décide d'appliquer une mise à jour critique qui, au lieu de corriger, efface tout. C'est le rêve mouillé de tout administrateur système frustré, mais exécuté par des acteurs malveillants. Utiliser Intune pour cela, c'est comme voler une clé maître de maintenance et l'utiliser pour souder toutes les portes. La prochaine fois que votre ordinateur portable professionnel se redémarre sans avertissement, vous croiserez les doigts pour que ce soit un correctif Microsoft et non un ordre de nettoyage depuis le cloud.