Napad koristi legitimnu Microsoft Intune remote-wipe funkcionalnost; CISA uvodi obvezu dual-admin provjere
AI ilustracija
Napad na Stryker Corporation koji je hacktivist grupa Handala (Iran/MOIS, alias Void Manticore) izvela 11. ožujka 2026. tek sada dobiva punu industrijsku pažnju kroz postmortem analize sigurnosnih istraživača. Razlog zašto incident ostaje relevantna tema i dva mjeseca nakon događaja jest tehnika napada jer Handala nije koristila nikakav malware, nijedan zero-day exploit, nikakav vlastiti kod. Koristila je isključivo legitimnu Microsoft Intune remote-wipe funkcionalnost isti mehanizam koji IT administratori koriste kada zaposlenik izgubi uređaj.
Napad je bio jednostavan u koncepciji, katastrofičan u učinku: Handala je stekla pristup Strykerovu Microsoft Intune administrator accountu još uvijek nije javno poznato kako, ali vjerojatno kombinacijom credential phishinga i zaobilaženja MFA i zatim je kroz Intune upravljačku konzolu simultano izdala remote-wipe naredbu za sve enrolled uređaje globalno. Rezultat: istovremeno brisanje tvorničkih postavki na više od 200.000 laptopa, radnih stanica, mobilnih uređaja i servera u 79 zemalja u roku od nekoliko minuta. Stryker-ovi uredi u svim tim državama odjednom su imali "dark" ekrane s Handala logom umjesto login ekrana.
Handala je tvrdila da je iz sustava ekstrahirala 50 TB podataka prije brisanja što nije neovisno potvrđeno. Kompanija nije potvrdila točan broj "wiped" uređaja. CISA je potvrdila da pruža tehničku pomoć i istražuje incident. US DHS je procjenjivao downstream utjecaj na pacijentsku skrb jer Stryker proizvodi medicinsku opremu.
Sigurnosne implikacije koje industrija izvlači: "living off the land" napadi koji zloupotrebljavaju legitimne enterprise IT alate (Microsoft Intune, RMM software, Active Directory, PowerShell) postaju dominantna taktika jer zaobilaze endpoint detekciju koja traži malware ili neobičan kod. CISA preporučena mjera kao direktna reakcija na Stryker incident: zahtijevati odobrenje drugog administratora za svaku masovnu device akciju u MDM/UEM sustavima principle of "dual control" koji se dugo primjenjivao u financijskim .
Gotovo jedan od troje potrošača na zapadnim tržištima sada kupuje proizvode koje su prvi put otkrili na društvenim platformama, pokazuje NIQ. Istraživanje pokazuje da umjetna inteligencija i novi modeli trgovine ubrzavaju prijelaz prema trgovini vođenoj otkrivanjem.
Obavještajni savez Five Eyes pozvao je na hitno djelovanje kako bi se odgovorilo na brzo mijenjanje AI krajolika. Mreža je upozorila da će ta tehnologija, iako će s vremenom pomoći u jačanju obrane, istodobno ubrzati brzinu, opseg i sofisticiranost napada.
Sigurnosni mediji u regionalnoj analizi navodi Europu kao posebno aktivnu metu ransomwarea, uz druge izvore koji bilježe rast automatizacije i brzine cyber napada. Ransomware se razvio iz enkripcije podataka u višeslojni model ucjene.