医療機器メーカーStrykerは、世界的なMicrosoft環境を中断させるサイバー攻撃を受けました。Handala Teamグループが攻撃を主張しており、地政学的文脈からイラン起源の可能性が指摘されています。同社はランサムウェアの証拠はないと主張していますが、脅威は深刻です。目的は運用停止のようで、経済的利益ではありません。
Intuneを中断兵器として使用した可能性 🛡️
攻撃者がデバイス管理の正当なツールであるMicrosoft Intuneを使用して、リモートデータ削除を実行したかどうかが調査中です。このwipeと呼ばれる方法は、侵入的なマルウェアなしで重要なシステムを無効化します。管理ツールを悪用することで、攻撃は従来の検知を回避し、許可されたエコシステム内部から物理的なサボタージュに似た効果を生み出します。
あなたのデバイスがセキュリティ更新のために再起動…永遠に 💀
IT部門が重要な更新を適用することを想像してください。それがパッチではなくすべてを削除するものだったら。システム管理者のフラストレーションの濡れた夢ですが、悪意あるアクターによって実行されます。これにIntuneを使うのは、メンテナンスのマスターキーを盗んですべてのドアを溶接するようなものです。次に会社のラップトップが予告なしに再起動したら、Microsoftのパッチであってクラウドからのクリーンアップ命令でないことを祈ることになるでしょう。