- Los piratas informáticos de Handala atacaron a Stryker a través de un administrador de Intune comprometido
- Decenas de miles de dispositivos borrados, pero no se confirma ningún robo de datos
- Los productos médicos siguen siendo seguros; solicitar sistemas fuera de línea y solo manualmente
Cuando los ciberdelincuentes atacaron Stryker la semana pasada y borraron decenas de miles de dispositivos electrónicos, lo hicieron sin utilizar ningún malware. En su lugar, usaron Intune, microsoftestá basado en la nube gestión de terminales servicio, dicen las fuentes.
La semana pasada, un colectivo de piratas informáticos que se hacían llamar Handala (también conocido como HAtef, Hamsa) dijo que habían pirateado Stryker, una empresa de atención médica Fortune 500 con decenas de miles de millones en ventas anuales. Afirmaron haber robado 50 terabytes de datos y borrado “decenas de miles de sistemas y servidores en la red de la empresa”.
“En esta operación, se borraron más de 200.000 sistemas, servidores y dispositivos móviles y se extrajeron 50 terabytes de datos críticos”, dijeron los atacantes en ese momento. “Las oficinas de Stryker en 79 países se vieron obligadas a cerrar”.
El artículo continúa a continuación.
Abusar de Intune
Stryker pronto confirmó los informes con una presentación 8-K. Varios empleados también confirmaron que sus dispositivos electrónicos fueron borrados durante la noche.
Entonces, una “fuente familiarizada con el ataque” dijo PitidoEquipo que Handala logró comprometer una cuenta de administrador de Intune y la usó para crear una nueva cuenta de Administrador Global. Usando la cuenta maestra, comenzaron el comando de limpieza, borrando datos de casi 80.000 dispositivos en cuestión de horas. Los investigadores también cuestionaron las afirmaciones de Handala sobre la exfiltración de datos, diciendo que no encontraron evidencia de que se hubiera eliminado ningún dato.
En una actualización posterior, Stryker dijo que sus dispositivos médicos son seguros de usar, pero que los sistemas de pedidos electrónicos no están conectados, lo que significa que los clientes sólo pueden realizar pedidos manualmente a través de representantes de ventas.
“Todos los productos Stryker de nuestra cartera global, incluidas las tecnologías conectadas, digitales y que salvan vidas, siguen siendo seguros de usar”, dijo la compañía. “Este evento estuvo contenido dentro del entorno interno de Microsoft de Stryker y, como resultado, no afectó a ninguno de nuestros productos, ya sean conectados o no”.
Aunque no están confirmados, los informes dicen que los Handala son “hacktivistas vinculados al Ministerio de Inteligencia y Seguridad iraní”, que apuntan principalmente a organizaciones israelíes en todo el mundo.
A través de PitidoEquipo
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News y agréganos como fuente preferida para recibir noticias, análisis y opiniones de expertos en tus feeds. ¡Asegúrate de hacer clic en el botón Seguir!
Y por supuesto que tú también puedes Siga TechRadar en TikTok para noticias, reseñas, unboxings en formato de video y reciba actualizaciones periódicas de nuestra parte en WhatsApp también.
