Медицинский производитель Stryker подвергся кибератаке, которая прервала его среду Microsoft по всему миру. Группа Handala Team взяла на себя ответственность за атаку в геополитическом контексте, указывающем на возможное иранское происхождение. Компания утверждает, что нет доказательств ransomware, но угроза серьезна. Целью, похоже, была операционная парализация, а не экономическая выгода.
Возможное использование Intune как оружия для прерывания 🛡️
Расследуется, использовали ли атакующие Microsoft Intune, легитимный инструмент управления устройствами, для выполнения удаленного стирания данных. Этот метод, известный как wipe, позволяет отключать критические системы без необходимости в инвазивном вредоносном ПО. Используя административный инструмент, атака избегает традиционных обнаружений и достигает эффекта, подобного физическому саботажу, но изнутри авторизованной экосистемы.
Ваше устройство перезагружается для обновления безопасности... вечного 💀
Представьте, что отдел ИТ решает применить критическое обновление, которое вместо патча стирает все. Это мокрая мечта любого раздраженного системного администратора, но выполненная злонамеренными акторами. Использовать Intune для этого — все равно что украсть мастер-ключ обслуживания и использовать его, чтобы приварить все двери. В следующий раз, когда ваш корпоративный ноутбук перезагрузится без предупреждения, скрестите пальцы, чтобы это был патч от Microsoft, а не команда на очистку из облака.