Napad na Stryker obrisao desetine hiljada uređaja bez malvera
Napad na medicinsku kompaniju Stryker doveo je do masovnog brisanja zaposleničkih uređaja koristeći Microsoft Intune administrativne komande. Napadači su kompromitovali administratorski nalog, kreirali novi Global Admin nalog i zatim pokrenuli komandu za udaljeno brisanje uređaja. Između 5 i 8 časova ujutru obrisano je gotovo 80.000 računara i mobilnih uređaja.
Pojašnjenje
Incident pokazuje da napadači danas često ne koriste malver, već zloupotrebljavaju legitimne administrativne alate u sistemu. Kada napadač dobije administratorske privilegije u cloud upravljačkom okruženju poput Microsoft Intune ili Azure AD, može koristiti iste komande koje koriste administratori – uključujući i brisanje uređaja.
Preporuke
- Ograničiti broj Global Administrator naloga u Microsoft okruženjima
- Uvesti višefaktorsku autentifikaciju za sve administratorske naloge
- Koristiti Privileged Identity Management za privremeno dodeljivanje administratorskih prava
- Pratiti i alarmirati masovne administrativne akcije poput wipe komandi
- Odvojiti lične uređaje zaposlenih od korporativnog upravljanja gde je to moguće