A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) emitiu um alerta urgente às empresas sobre a segurança de seus sistemas de gerenciamento de dispositivos. Isto segue-se a um grande ataque cibernético ao fabricante de dispositivos médicos Stryker, onde hackers pró-Irão apagaram remotamente dados de milhares de dispositivos geridos pela empresa.
O ataque ao Stryker: um estudo de caso em risco de endpoint
Em 11 de março, a Stryker confirmou um ataque cibernético que causou “perturbação global” nas suas operações. Ao contrário dos ataques típicos de ransomware, os hackers não implantaram malware. Em vez disso, exploraram o acesso ao sistema Microsoft Intune da Stryker – utilizado para gerir dispositivos de funcionários – para eliminar remotamente dados em dezenas de milhares de telefones, tablets e computadores. Isso incluiu dispositivos pessoais e de propriedade da empresa conectados à rede.
Por que isso é importante: Este incidente destaca uma vulnerabilidade crítica na forma como muitas empresas gerenciam o acesso a dispositivos. Sistemas de gerenciamento de endpoints como o Intune oferecem aos administradores um controle poderoso, mas, se comprometidos, podem ser transformados em armas para causar interrupções graves.
Recomendações da CISA: Fortalecendo a segurança dos endpoints
A orientação da CISA centra-se no reforço dos controles administrativos nas plataformas de gerenciamento de dispositivos. Especificamente, a agência recomenda que ações de alto impacto, como a limpeza remota de dispositivos, exijam a aprovação de um segundo administrador. Essa abordagem de “integridade de duas pessoas” adiciona uma camada crítica de proteção contra contas fraudulentas ou comprometidas.
Principais conclusões para administradores:
– Restringir ações confidenciais a fluxos de trabalho com múltiplas aprovações.
– Revise as permissões do usuário regularmente.
– Monitore os painéis do Intune em busca de atividades não autorizadas.
O grupo hacktivista por trás do ataque
Um grupo hacktivista pró-Irã que se autodenomina Handala assumiu a responsabilidade, alegando que o ataque foi uma retaliação a um ataque aéreo dos EUA no Irã que matou civis. O grupo alegou ter exfiltrado dados da rede da Stryker, mas ainda não forneceu provas.
A Stryker conteve o ataque e está trabalhando para restaurar os sistemas, mas sua cadeia de suprimentos, pedidos e operações de remessa permanecem offline. A empresa não forneceu um cronograma de recuperação.
Conclusão
O ataque Stryker ressalta a crescente ameaça de manipulação de endpoints. As empresas devem priorizar a segurança dos sistemas de gerenciamento de dispositivos com controles administrativos robustos para evitar incidentes semelhantes. Ignorar esse risco deixa as organizações vulneráveis a interrupções paralisantes que podem afetar operações críticas.
