Il produttore medico Stryker ha subito un cyberattacco che ha interrotto il suo ambiente Microsoft a livello mondiale. Il gruppo Handala Team ha rivendicato l'attacco, in un contesto geopolitico che punta a un possibile origine iraniano. L'azienda afferma che non ci sono evidenze di ransomware, ma la minaccia è grave. L'obiettivo sembra essere stato la paralisi operativa, non il beneficio economico.
L'uso possibile di Intune come arma di interruzione 🛡️
Si indaga se gli attaccanti abbiano utilizzato Microsoft Intune, uno strumento legittimo di gestione dei dispositivi, per eseguire un cancellazione remota dei dati. Questo metodo, noto come wipe, permette di disabilitare sistemi critici senza necessità di malware intrusivo. Sfruttando uno strumento amministrativo, l'attacco evita le rilevazioni tradizionali e ottiene un effetto simile a un sabotaggio fisico, ma dall'interno dell'ecosistema autorizzato.
Il tuo dispositivo si è riavviato per un aggiornamento di sicurezza... eterno 💀
Immagina che il reparto IT decida di applicare un aggiornamento critico che, invece di correggere, cancella tutto. È il sogno bagnato di qualsiasi amministratore di sistemi frustrato, ma eseguito da attori maliziosi. Usare Intune per questo è come rubare una chiave master di manutenzione e usarla per saldare tutte le porte. La prossima volta che il tuo portatile aziendale si riavvia senza preavviso, incrocerai le dita perché sia una patch di Microsoft e non un ordine di pulizia dalla nuvola.