CISA heeft Amerikaanse organisaties gewaarschuwd om de richtlijnen van Microsoft op te volgen voor het versterken van de Intune endpoint management tool, nadat een cyberaanval deze gebruikte om de systemen van medisch technologiebedrijf Stryker te wissen.

Microsoft gaf kort na de inbraak bij Stryker advies over hoe Intune beter beveiligd kon worden. Deze aanval werd opgeëist door Handala, een hacktivistengroep met banden met Iran en pro-Palestina.

De hackers beweren 50 terabyte aan data te hebben gestolen en gebruikten vervolgens het ingebouwde wiskommando in Microsoft’s Intune om bijna 80.000 apparaten op 11 maart te wissen.

Volgens een bron die bekend is met het incident, voerden de aanvallers de aanval uit via een nieuw Global Administrator-account dat ze hadden gecreëerd na het compromitteren van een bestaand account.

CISA roept nu alle Amerikaanse organisaties op om hun Intune-omgevingen te versterken om beter bestand te zijn tegen soortgelijke aanvallen.

“CISA is op de hoogte van kwaadaardige cyberactiviteiten die gericht zijn op de endpoint managementsystemen van Amerikaanse organisaties, zoals gezien in de aanval op 11 maart 2026 bij het Amerikaanse medisch technologiebedrijf Stryker Corporation,” meldde de Amerikaanse cybersecurity-instantie woensdag.

“Om jezelf te verdedigen tegen dergelijke aanvallen, raadt CISA organisaties aan om configuraties van endpoint managementsystemen te versterken aan de hand van de aanbevelingen en middelen in deze waarschuwing.”

CISA’s aanbevelingen gelden voor Microsoft Intune en andere endpoint managementsoftware. IT-beheerders moeten een minimalistische benadering hanteren voor adminrollen, waarbij alleen de noodzakelijke rechten via Microsoft Intune’s role-based access control (RBAC) worden toegekend.

Beheerders moeten ook meervoudige verificatie en strikte toegangsbeheerprocedures afdwingen om ongeautoriseerde toegang tot geprivilegieerde functies in Intune te voorkomen. Hierbij wordt gebruikgemaakt van Microsoft Entra ID-functies zoals Conditional Access en risicosignalen, en is goedkeuring van meerdere beheerders vereist voor wijzigingen aan gevoelige acties.

“Deze praktijken helpen je om te verschuiven van vertrouwen in ‘vertrouwde beheerders’ naar een beter beschermde administratie: een minimalistische benadering om impact te beperken, Microsoft Entra-gebaseerde controles om ervoor te zorgen dat gebruikers zijn wie ze zeggen dat ze zijn, en goedkeuring van meerdere beheerders voor belangrijke wijzigingen,” zegt Microsoft.

Handala (ook bekend als Handala Hack Team, Hatef, Hamsa), de groep die de verantwoordelijkheid voor de Stryker-aanval claimde, verscheen in december 2023 als een hacktivistische operatie die Israëlische organisaties aanviel met malware die gegevens wist op Windows en Linux.

Zij worden in verband gebracht met Iran’s Ministerie van Inlichtingen en Veiligheid (MOIS) en staan bekend om het stelen en lekken van gevoelige gegevens van gecompromitteerde systemen.