La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha lanciato un avviso urgente alle aziende in merito alla sicurezza dei loro sistemi di gestione dei dispositivi. Ciò fa seguito a un grave attacco informatico al produttore di dispositivi medici Stryker, in cui hacker filo-iraniani hanno cancellato da remoto i dati di migliaia di dispositivi gestiti dall’azienda.
L’attacco a Stryker: un caso di studio sul rischio endpoint
L’11 marzo Stryker ha confermato un attacco informatico che ha causato “interruzioni globali” alle sue operazioni. A differenza dei tipici attacchi ransomware, gli hacker non hanno distribuito malware. Invece, hanno sfruttato l’accesso al sistema Microsoft Intune di Stryker – utilizzato per gestire i dispositivi dei dipendenti – per eliminare da remoto i dati su decine di migliaia di telefoni, tablet e computer. Ciò includeva sia i dispositivi di proprietà dell’azienda che quelli personali collegati alla rete.
Perché è importante: questo incidente evidenzia una vulnerabilità critica nel numero di aziende che gestiscono l’accesso ai dispositivi. I sistemi di gestione degli endpoint come Intune offrono agli amministratori un controllo potente ma, se compromessi, possono essere utilizzati come armi per causare gravi interruzioni.
Raccomandazioni CISA: rafforzare la sicurezza degli endpoint
La guida CISA è incentrata sul rafforzamento dei controlli amministrativi all’interno delle piattaforme di gestione dei dispositivi. Nello specifico, l’agenzia consiglia che le azioni ad alto impatto, come la cancellazione remota dei dispositivi, richiedano l’approvazione di un secondo amministratore. Questo approccio di “integrità di due persone” aggiunge un livello critico di protezione contro account non autorizzati o compromessi.
Aspetti principali per gli amministratori:
– Limitare le azioni sensibili ai flussi di lavoro con approvazione multipla.
– Controlla regolarmente le autorizzazioni degli utenti.
– Monitorare i dashboard di Intune per attività non autorizzate.
Il gruppo di hacker attivisti dietro l’attacco
Un gruppo di hacktivisti filo-iraniani che si fa chiamare Handala ha rivendicato la responsabilità, sostenendo che l’attacco era una ritorsione per un attacco aereo statunitense in Iran che aveva ucciso civili. Il gruppo ha affermato di aver sottratto dati dalla rete di Stryker, ma non ha ancora fornito prove.
Stryker ha contenuto l’attacco e sta lavorando per ripristinare i sistemi, ma le operazioni relative alla catena di fornitura, agli ordini e alle spedizioni rimangono offline. La società non ha fornito una tempistica di recupero.
Conclusione
L’attacco Stryker sottolinea la crescente minaccia della manipolazione degli endpoint. Le aziende devono dare priorità alla protezione dei sistemi di gestione dei dispositivi con solidi controlli amministrativi per prevenire incidenti simili. Ignorare questo rischio lascia le organizzazioni vulnerabili a interruzioni paralizzanti che possono avere un impatto sulle operazioni critiche.
