Na manhã de 11 de março, deixou uma das grandes empresas do setor de saúde com importantes interrupções: milhares de equipamentos gerenciados pela nuvem foram apagados de forma remota e, segundo declarações do grupo que reivindicou o ataque, foram trazidos terabytes de informação. O que diferencia este incidente de outros ataques com malware é que os agressores não precisaram de implantar um verme ou um ransomware em cada máquina; aproveitaram as capacidades administrativas de uma ferramenta de gestão de endpoints na nuvem para executar uma remoção maciça.
A ferramenta em questão é a Microsoft Intune, um serviço que muitas organizações usam para controlar e proteger dispositivos corporativos. O Intune inclui funções legítimas e poderosas, como a possibilidade de remover dados de uma equipe remota para proteger ativos quando um dispositivo é perdido ou roubado. Mas essa mesma capacidade pode se tornar um vetor de dano se um atacante conseguir privilégios administrativos. Sobre o que aconteceu em Stryker têm informado meios especializados; uma análise da cronologia e técnicas empregadas pode ser consultada em BleepingComputer.
Após o incidente, a Agência de Segurança de Infra-estruturas e Cibersegurança dos EUA publicou um aviso que apela a organizações de todo o tipo para reforçar os seus sistemas de gestão de endpoints. Nesse comunicado, a agência recomenda medidas de endurecimento que vão além de um único produto: trata-se de aplicar princípios de segurança administrativa para reduzir a superfície de ataque e conter o impacto se uma conta for comprometida. O texto do CISA está disponível em seu alerta público.
A Microsoft, por sua vez, publicou orientações específicas para proteger ambientes Intune e controlar melhor quem pode realizar ações críticas desde a nuvem. As suas recomendações sublinham a necessidade de se confiar em administradores “confiais” para conceber uma administração segura desde o início: minimizar privilégios, verificar a identidade com controles modernos e exigir aprobações para operações sensíveis. As diretrizes oficiais da Microsoft para reforçar o Intune podem ser consultadas em seu blog técnico em Tech Community, e a documentação sobre a função de remoção remota está na documentação do Intune Microsoft Learn.
Que lições práticas deixa este incidente? Em primeiro lugar, a gestão de papéis e permissões deve obedecer ao princípio de menor privilégio: nem todos os administradores precisam de acesso global. Implementar controlos de acesso baseados em papéis e evitar contas com licenças excessivas reduz a capacidade de um atacante provocar danos em massa apenas com uma conta comprometida. Em segundo lugar, a protecção das contas com privilégios deve ser muito mais exigente: autenticação multifator, políticas de acesso condicional que avaliem o contexto de início de sessão e mecanismos de acesso privilegiado temporário (just-in-time) são camadas que complicam o trabalho de quem tente elevar ou usurpar privilégios.
Também é crucial estabelecer barreiras administrativas para as operações que possam causar maior impacto: as acções de remoção, as alterações nas políticas de papéis ou as actualizações globais devem ser submetidas a mecanismos de dupla aprovação ou fluxos de controlo onde intervenham vários responsáveis. Paralelamente, a telemetria, os registos de auditoria e os alertas em tempo real permitem detectar movimentos laterais ou criar contas suspeitas precoces; sem telemetria adequada, um intruso pode criar um administrador e agir sem ser visto.
O ator que reivindicou a intrusão, conhecido como Handala ou com outros alias, é descrito por analistas como um grupo hacktivista com vínculos que apontam para estruturas estatais iranianas e com história de usar malware rascunho em campanhas anteriores. Relatórios de pesquisa e contexto sobre este agrupamento e suas operações recentes podem ser consultadas na análise de Palo Alto Networks Unit 42 no seu relatório sobre ataques iranianos em 2026. O padrão que mostra Handala —exfiltração seguida de desfiguração ou remoção de dados — é especialmente perigoso para organizações críticas onde a disponibilidade e a integridade da informação são vitais.
Além da técnica e da tática do adversário, há uma dimensão organizativa que merece atenção: os testes de recuperação e os planos de contingência. Ter um sistema que permita remover remotamente não substitui políticas robustas de apoio, segmentação de redes e procedimentos de recuperação verificáveis. Ensaiar cenários de compromisso, rever permissões periodicamente e dispor de contas «break-glass» protegidas são práticas que ajudam a recuperar operações com menor custo quando algo falha.
A mensagem das autoridades e dos fabricantes é clara e urgente: ferramentas poderosas nas mãos legítimas facilitam a gestão, mas nas mãos de um atacante com privilégios podem criar uma cessação de operações em massa. Por isso, além de aplicar as recomendações publicadas pela Microsoft e CISA, convém que as equipes de segurança revejam suas configurações, auditem acessos recentes e planteem controles adicionais para ações críticas. A segurança na nuvem é tanto técnica como de processos; a combinação de ambos é a que reduz realmente o risco.
Se a sua organização usar o Intune ou qualquer plataforma de gestão de endpoints, é recomendável rever os guias citados, verificar papéis e autenticações, e coordenar com a área de riscos e continuidade para garantir que existe capacidade de recuperação. Consultar as fontes oficiais lhe dará uma referência sólida para priorizar medidas: a Guia Microsoft, a alerta de CISA e relatórios técnicos sobre o ator por trás do ataque como o de Unit 42 São bons pontos de partida para entender o alcance e aplicar defesas eficazes.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...