In seguito a una serie di attacchi informatici che hanno coinvolto organizzazioni di rilievo internazionale, soprattutto nel settore sanitario, il CSIRT Italia segnala un aumento delle campagne mirate contro piattaforme di Endpoint Management, tra cui Microsoft Intune. Gli attori malevoli sfruttano funzionalità amministrative legittime, evitando l’uso di malware, per eseguire wiping massivi ed esfiltrare dati sensibili.
L’11 marzo 2026 un gruppo di attaccanti è riuscito a compromettere la console di gestione di un’azienda di tecnologie mediche tramite tecniche di social engineering e spear-phishing. Tra le modalità ipotizzate per aggirare l’MFA figurano MFA Fatigue (invio massivo di notifiche push per indurre l’amministratore all’approvazione involontaria) e Session Hijacking (furto di token di sessione per simulare un’utenza già autenticata e bypassare le sfide MFA).
Una volta ottenuti i privilegi amministrativi, gli attaccanti hanno abusato delle funzionalità legittime di Mobile Device Management, in particolare del comando di “Remote Wipe”, causando la cancellazione simultanea di decine di migliaia di dispositivi aziendali tra laptop, server e smartphone. L’attacco ha provocato la perdita logica di circa 12 petabyte di dati e l’interruzione dei servizi critici, senza essere rilevato dai sistemi di sicurezza tradizionali, poiché non è stato utilizzato malware.
Il CSIRT sottolinea la necessità di rafforzare le misure di sicurezza, raccomandando l’adozione di sistemi di autenticazione resistenti al phishing (come FIDO2), l’uso di soluzioni di Privileged Identity Management, policy di accesso condizionale e il monitoraggio proattivo dei log. Particolare attenzione viene inoltre posta sull’implementazione del meccanismo di approvazione multi-amministratore (MAA) su Microsoft Intune, per prevenire operazioni critiche non autorizzate e migliorare la resilienza complessiva delle infrastrutture cloud.
