Una sola cuenta puede causar decenas de miles de víctimas: CISA lanza la alarma para evitar que se repita el caso Stryker.
Los hackers prescinden de virus gracias a las lagunas legales.
Las autoridades estadounidenses prestaron atención a las vulnerabilidades en los sistemas de gestión de dispositivos tras un ataque a gran escala contra la corporación médica Stryker. El incidente mostró cómo los atacantes pueden usar herramientas legítimas de administración para llevar a cabo acciones destructivas dentro de la infraestructura corporativa.
La Agencia de Seguridad Cibernética y de Infraestructura (CISA) informó sobre los riesgos para las organizaciones que emplean Microsoft Intune. El motivo fue el ataque del 11 de marzo, durante el cual desconocidos obtuvieron acceso al sistema de gestión y borraron datos en decenas de miles de dispositivos. Según fuentes, los atacantes crearon una nueva cuenta con privilegios de administrador global tras comprometer una cuenta con privilegios elevados.
La responsabilidad del ataque la asumió el grupo Handala, vinculado a hacktivistas proiraníes. Sus miembros afirmaron haber robado alrededor de 50 terabytes de datos antes de iniciar la eliminación masiva de información en aproximadamente 80 000 dispositivos mediante las funciones integradas de Intune.
Microsoft publicó recomendaciones para reforzar la protección del servicio poco después del incidente. La empresa sugiere revisar los permisos de los administradores y limitarlos al mínimo necesario. Para ello recomienda usar el modelo de control de acceso basado en roles integrado en Intune.
CISA respaldó las recomendaciones y pidió a las organizaciones que refuercen el control sobre las acciones administrativas. En particular, se trata de implementar autenticación multifactor, supervisar los riesgos de las cuentas y aplicar políticas de acceso condicional a través de Microsoft Entra ID. Además, se propone exigir la aprobación de operaciones críticas por parte de varios administradores, incluidas la eliminación de dispositivos y el cambio de configuraciones de acceso.
Handala surgió a finales de 2023 y al principio atacó a organizaciones israelíes utilizando software malicioso para destruir datos en sistemas Windows y Linux. El grupo también es conocido por el robo de información confidencial y la publicación del material robado.