Sistemi Microsoft esposti? Gli USA segnalano rischi dopo la violazione a Stryker

Un attacco informatico al produttore di dispositivi medici Stryker ha spinto le autorità statunitensi a mettere in guardia le aziende sui potenziali rischi legati ai sistemi Microsoft, ampiamente utilizzati nelle organizzazioni.

La violazione, iniziata l'11 marzo, ha interrotto le operazioni globali di Stryker e ha richiamato l'attenzione sulle vulnerabilità negli strumenti di gestione degli endpoint che controllano accessi, dispositivi e applicazioni.

Un rapporto di Reuters riporta che la Cybersecurity and Infrastructure Security Agency ha chiesto alle aziende di rafforzare le protezioni attorno a Microsoft Intune e alle relative configurazioni.

L'incidente, ora collegato a un gruppo legato all'Iran, viene esaminato non solo come un'interruzione isolata ma come parte di un quadro più ampio di attività informatiche mirate che interessano infrastrutture critiche.

Il caso è anche monitorato da vicino dai regolatori, dato il suo impatto sull'erogazione dei servizi sanitari.

L'attacco interrompe le operazioni globali

L'attacco informatico dell'11 marzo ha avuto un impatto significativo sui sistemi interni di Stryker.

L'azienda ha incontrato difficoltà nell'elaborare ordini, nel produrre i prodotti e nello spedirli ai clienti.

Stryker ha dichiarato, riporta Reuters, di aver subito un'interruzione globale nel proprio ambiente Microsoft, indicando che sono stati interessati strumenti aziendali fondamentali.

L'incidente è rapidamente degenerato in un problema operativo più ampio, interessando contemporaneamente diverse parti dell'attività.

La perturbazione si è estesa oltre la logistica fino all'erogazione delle cure, con alcuni interventi chirurgici rinviati a causa dei malfunzionamenti di sistema.

Questo ha sollevato preoccupazioni sulla resilienza delle infrastrutture digitali nei settori critici.

Gruppo legato all'Iran dietro la violazione

Un gruppo di hacker legato all'Iran chiamato Handala ha rivendicato la responsabilità dell'attacco.

Il gruppo ha dichiarato che la violazione è stata eseguita in risposta a un attacco a una scuola di ragazze a Minab, nel sud dell'Iran.

Reuters riferisce che la rivendicazione introduce una componente geopolitica nell'attacco informatico, suggerendo che l'azione possa essere stata motivata da ritorsione.

Sebbene le autorità non abbiano confermato l'attribuzione, la rivendicazione fa parte delle indagini in corso.

Il coinvolgimento di un gruppo a motivazione politica evidenzia come le reti aziendali possano diventare bersagli in tensioni e conflitti geopolitici più ampi, al di là dei campi di battaglia tradizionali.

La CISA avverte sui sistemi di gestione degli endpoint

La Cybersecurity and Infrastructure Security Agency ha dichiarato di essere a conoscenza di attività informatiche dannose che prendono di mira i sistemi di gestione degli endpoint utilizzati dalle organizzazioni statunitensi.

L'avviso è seguito a osservazioni collegate all'incidente di Stryker.

Piattaforme di gestione degli endpoint come Microsoft Intune sono comunemente utilizzate per amministrare l'accesso dei dipendenti, i dispositivi aziendali e le applicazioni enterprise.

La CISA ha esortato le organizzazioni a rafforzare le configurazioni di sistema e a implementare le pratiche di sicurezza raccomandate da Microsoft per ridurre l'esposizione a attacchi simili.

L'agenzia ha sottolineato la necessità di rivedere i controlli di accesso e di monitorare comportamenti anomali dei sistemi.

Risposta federale e contenimento

La CISA sta coordinando le attività con partner federali, incluso il Federal Bureau of Investigation, per identificare ulteriori minacce e determinare misure di mitigazione.

La risposta riflette la preoccupazione che vulnerabilità simili possano esistere anche in altre organizzazioni che utilizzano strumenti Microsoft comparabili e ambienti di infrastruttura condivisa.

Martedì Stryker ha dichiarato di aver contenuto l'attacco. Ha anche affermato che i servizi relativi ai pazienti e i dispositivi medici connessi non sono stati interessati.

Tuttavia, l'azienda non ha divulgato l'impatto finanziario della interruzione, lasciando poco chiari i costi complessivi.

L'incidente ha evidenziato come la dipendenza da sistemi aziendali centralizzati possa creare punti unici di cedimento, in particolare in settori come la sanità, dove la continuità operativa è critica.