De FBI en de Cybersecurity and Infrastructure Security Agency (CISA) hebben organisaties opgeroepen hun gebruik van Microsoft Intune beter te beveiligen na een cyberaanval die werd toegeschreven aan een Iraans gelieerd hackerscollectief. De aanval trof het Amerikaanse medisch technologiebedrijf Stryker, waarbij meer dan 200.000 apparaten binnen het bedrijf werden gewist.

In tegenstelling tot traditionele malware-aanvallen maakten de aanvallers gebruik van een legitiem Microsoft-apparaatbeheerplatform, Intune, om toegang te krijgen en de data te verwijderen. CISA adviseert bedrijven die Intune gebruiken om de door Microsoft gepubliceerde best practices te volgen en de configuraties van hun endpoint management systemen te versterken. Hierbij wordt onder meer aanbevolen om rolgebaseerde toegangscontrole toe te passen, multi-factor authenticatie te verplichten en Microsoft Entra ID in te zetten om ongeautoriseerde toegang tot gevoelige acties te voorkomen. Daarnaast raadt CISA aan om beleidsregels in te stellen waarbij wijzigingen aan kritieke functies, zoals het wissen van apparaten, goedkeuring van een tweede beheerder vereisen.

De aanval werd uitgevoerd door de hackersgroep Handala, die duizenden apparaten wist en werknemers wereldwijd, onder meer in de Verenigde Staten, Ierland en India, tijdelijk de toegang tot belangrijke systemen ontzegde. Sommige medewerkers meldden dat ook persoonlijke apparaten met Intune waren gewist. De federale autoriteiten zijn actief bezig met het identificeren van verdere dreigingen en het nemen van tegenmaatregelen. Deze week werd een website die aan Handala gelinkt is offline gehaald door de FBI, die aangaf dat de site werd gebruikt voor kwaadaardige cyberactiviteiten in opdracht van een buitenlandse staat.