В четверг CISA объявила, что хактивисты из группы Handala получили доступ к Windows‑сети Stryker и использовали консоль Microsoft Intune для массового стирания данных на более чем десяти тысячах устройств сотрудников, включая личные смартфоны и ноутбуки.
Что произошло
Взлом обнаружили 11 марта, когда Stryker сообщила о глобальном нарушении работы своей сети. Хакеры не установили вредоносное ПО и не вымогали выкуп, но получили возможность удалённо удалять файлы через Intune‑дэшборд. Компания заявила, что её медицинские изделия продолжают функционировать, однако системы поставок, заказов и отгрузок остаются отключёнными.
Почему это важно
Инцидент показывает слабости платформ удалённого управления, которые привлекают группы, мотивированные политическими соображениями.
- Отсутствие двойного контроля дало злоумышленникам возможность выполнить массовое стирание без дополнительного подтверждения.
- Перебои в бизнес‑процессах крупного медицинского поставщика могут отразиться на цепочках поставок и обслуживании пациентов.
Что дальше
В рекомендациях CISA указано внедрять обязательное подтверждение второго администратора для «критических» действий в Intune и регулярно проверять привилегии пользовательских аккаунтов. FBI уже конфисковала веб‑ресурс группы Handala, однако полное восстановление инфраструктуры Stryker и оценка утечки данных ещё предстоит.