Un presunto ataque de limpieza contra el gigante de la tecnología médica Stryker ha llevado a gran parte de la comunidad de seguridad a examinar el papel de Microsoft Intune.
Stryker, un especialista en equipos quirúrgicos con sede en Portage, Michigan, fue pirateado la semana pasada en un ataque que afectó a miles de dispositivos móviles y otros sistemas.
La compañía, en una presentación regulatoria, confirmó que el ataque afectó su entorno Microsoft y advirtió en una actualización al cliente que sus sistemas de pedidos electrónicos siguen no disponibles.
Un hacker vinculado a Irán rastreado con el nombre de Handala se atribuyó el mérito del ataque, según Investigación de puntos de control. El hacker afirma haber robado 50 terabytes de datos y haber borrado información de miles de servidores y dispositivos móviles en el proceso.
Los investigadores de Halcyon dijeron a Cybersecurity Dive que el ataque Stryker afectó a todos los teléfonos y estaciones de trabajo con una cadena Intune base 64. Según los investigadores, Intune normalmente se usa para impulsar software o administrar dispositivos codificados en base 64.
La carga útil incluía comandos de borrado remoto, que se utilizaron para eliminar datos en todos los dispositivos afectados, según Halycon.
Para llevar a cabo un ataque de este tipo, un pirata informático necesitaría obtener privilegios de administrador de Intune o de administrador global, dijeron los investigadores.
Paddy Harrington, analista senior de Forrester, dijo que el ataque no apunta a ninguna debilidad inherente en Microsoft Intune, pero Básicamente utiliza técnicas de subsistencia de la tierra. para eludir los sistemas de seguridad existentes.
Los ataques que utilizan plataformas de gestión de dispositivos móviles no son nuevos y se han utilizado para llevar a cabo ataques importantes en los últimos años. Harrington señala un ataque en enero contra la Comisión Europea y un ataque en 2020 contra una empresa multinacional que utilizó un troyano bancario Cerberus.
«El uso de MFA para acceder a MDM/UEM puede reducir la probabilidad de un simple ataque de apropiación de cuenta. Y para funciones destructivas como acciones de borrado, Intune y otras plataformas modernas tienen una función de aprobación de múltiples cuentas que garantiza que ninguna persona pueda realizar cambios críticos», dijo Harrington a Cybersecurity Dive.
Los investigadores de la Unidad 42 de Palo Alto Networks no quisieron comentar sobre los detalles del ataque Stryker, pero citaron un informe del 6 de marzo de la Dirección Cibernética Nacional de Israel sobre ataques destructivos de limpieza dirigidos a servidores y estaciones de trabajo de varias empresas con el objetivo de eliminar datos. según una publicación de blog publicada el jueves.
En algunos de esos ataques, los piratas informáticos obtuvieron acceso a credenciales u otra información de usuarios legítimos y la utilizaron como arma para obtener acceso inicial a los sistemas, según la publicación del blog de la Unidad 42.
Hasta ahora, Microsoft se ha negado a comentar sobre el incidente, pero un portavoz le dijo a Cybersecurity Dive que proporcionaría una actualización si hubiera información adicional disponible.
Stryker ha estado trabajando con expertos forenses externos para investigar el ataque y la Agencia de Seguridad de Infraestructura y Ciberseguridad también ha estado investigando el ataque.
Fuente