Η CISA προειδοποίησε τους οργανισμούς των ΗΠΑ να ακολουθήσουν τις οδηγίες της Microsoft για την ενίσχυση του εργαλείου διαχείρισης τελικού σημείου Intune μετά από κυβερνοεπίθεση που το εκμεταλλεύτηκε για να σκουπίσει τα συστήματα του κολοσσού της ιατρικής τεχνολογίας Stryker.
Microsoft δημοσιευμένη καθοδήγηση σχετικά με τη σκλήρυνση των διοικητικών ελέγχων Intune ημέρες μετά την παραβίαση του Stryker σε ένα περιστατικό για το οποίο διεκδικήθηκε η Handala, μια συνδεδεμένη με το Ιράν και φιλοπαλαιστινιακή ομάδα χακτιβιστών.
Οι χάκερ ισχυρίζονται ότι έκλεψαν 50 terabytes δεδομένων πριν το χρησιμοποιήσουν ενσωματωμένη εντολή σκουπίσματος στο εργαλείο διαχείρισης τελικών σημείων Intune της Microsoft που βασίζεται σε σύννεφο για να σκουπίσει σχεδόν 80.000 συσκευές νωρίς το πρωί της 11ης Μαρτίου.
Όπως είπε στο BleepingComputer από μια πηγή που γνωρίζει το περιστατικό, πραγματοποίησαν την επίθεση χρησιμοποιώντας έναν νέο λογαριασμό Global Administrator που δημιουργήθηκε μετά από παραβίαση ενός λογαριασμού διαχειριστή.
Τώρα, Η CISA προέτρεψε όλους τους οργανισμούς των ΗΠΑ να σκληρύνουν τα περιβάλλοντα Intune τους για να τα κάνουν πιο ανθεκτικά σε παρόμοιες επιθέσεις που θα μπορούσαν να στοχεύουν τα δικά τους δίκτυα.
«Η CISA έχει επίγνωση της κακόβουλης διαδικτυακής δραστηριότητας που στοχεύει συστήματα διαχείρισης τελικών σημείων αμερικανικών οργανισμών που βασίζονται στην κυβερνοεπίθεση της 11ης Μαρτίου 2026 εναντίον της εταιρείας ιατρικής τεχνολογίας Stryker Corporation με έδρα τις ΗΠΑ, η οποία επηρέασε το περιβάλλον της Microsoft», δήλωσε την Τετάρτη η αμερικανική υπηρεσία κυβερνοασφάλειας.
“Για την άμυνα έναντι παρόμοιας κακόβουλης δραστηριότητας στον κυβερνοχώρο, η CISA προτρέπει τους οργανισμούς να σκληρύνουν τις διαμορφώσεις συστημάτων διαχείρισης τελικών σημείων χρησιμοποιώντας τις συστάσεις και τους πόρους που παρέχονται σε αυτήν την ειδοποίηση.”
Η λίστα προτάσεων της CISA ισχύει για το Microsoft Intune και άλλο λογισμικό διαχείρισης τελικών σημείων και απαιτεί από τους διαχειριστές IT να χρησιμοποιούν μια προσέγγιση ελάχιστων προνομίων για ρόλους διαχειριστή, εκχωρώντας μόνο τα απαραίτητα δικαιώματα μέσω του ελέγχου πρόσβασης βάσει ρόλων (RBAC) του Microsoft Intune.
Οι διαχειριστές θα πρέπει επίσης να επιβάλλουν την υγιεινή MFA και προνομιακής πρόσβασης για να αποκλείσουν τη μη εξουσιοδοτημένη πρόσβαση σε προνομιακές ενέργειες στο Intune (μέσω λειτουργιών Microsoft Entra ID όπως η υπό όρους πρόσβαση, σήματα κινδύνου και MFA) και να απαιτούν έγκριση πολλών διαχειριστών για αλλαγές σε ευαίσθητες ενέργειες, όπως σκουπίσματα συσκευών, ενημερώσεις εφαρμογών και τροποποιήσεις RBAC.
“Όταν συνδυάζονται, αυτές οι πρακτικές σάς βοηθούν να μετατοπιστείτε από το να βασίζεστε σε “έμπιστους διαχειριστές” στη δημιουργία μιας πιο προστατευμένης διαχείρισης βάσει σχεδίου: ελάχιστο προνόμιο περιορισμού του αντίκτυπου, στοιχεία ελέγχου που βασίζονται στο Microsoft Entra για να διασφαλιστεί ότι οι χρήστες είναι αξιόπιστοι και ότι είναι αυτοί που λένε ότι είναι και έγκριση πολλών διαχειριστών για να διέπει τις αλλαγές που έχουν μεγαλύτερη σημασία”, λέει η Microsoft.
Η Handala (γνωστή και ως Handala Hack Team, Hatef, Hamsa), η ομάδα που ανέλαβε την ευθύνη για την κυβερνοεπίθεση του Stryker, εμφανίστηκε τον Δεκέμβριο του 2023 ως επιχείρηση χάκτιβιστ που στόχευε ισραηλινούς οργανισμούς με κακόβουλο λογισμικό Windows και Linux που σκουπίζει δεδομένα.
Έχουν υπάρξει συνδέεται με το Υπουργείο Πληροφοριών και Ασφάλειας του Ιράν (MOIS) και είναι γνωστοί για την κλοπή και τη διαρροή ευαίσθητων δεδομένων από παραβιασμένα συστήματα.
Το κακόβουλο λογισμικό γίνεται πιο έξυπνο. Η Κόκκινη Έκθεση 2026 αποκαλύπτει πώς οι νέες απειλές χρησιμοποιούν τα μαθηματικά για να ανιχνεύουν sandbox και να κρύβονται σε κοινή θέα.
Κατεβάστε την ανάλυσή μας για 1,1 εκατομμύρια κακόβουλα δείγματα για να αποκαλύψετε τις 10 κορυφαίες τεχνικές και να δείτε εάν η στοίβα ασφαλείας σας έχει τυφλωθεί.
VIA: bleepingcomputer.com
