/https://www.ilsoftware.it/app/uploads/2025/04/foto-michele-nasi.jpg){kind=small}
/https://www.ilsoftware.it/app/uploads/2026/03/cancellazione-dati-remota-intune-attacco.jpg "Microsoft Intune usato per cancellare 200mila dispositivi: il caso Stryker")
Una vasta operazione di sabotaggio informatico ha colpito una delle più grandi aziende mondiali nel settore delle tecnologie mediche. Il gruppo hacktivista Handala, associato a interessi strategici iraniani, ha rivendicato un attacco distruttivo contro la multinazionale statunitense Stryker, sostenendo di aver cancellato dati e sistemi su scala globale. La vicenda si inserisce in una fase di forte tensione geopolitica tra Iran, USA e Israele, in cui le operazioni digitali assumono un ruolo sempre più diretto nelle dinamiche di conflitto.
Stryker, con sede a Kalamazoo nel Michigan, è uno dei principali produttori di dispositivi medici e chirurgici. L’azienda opera in decine di Paesi, impiega oltre 56.000 persone e genera un fatturato annuale superiore a 25 miliardi di dollari. I suoi sistemi tecnologici supportano una rete globale che coinvolge ospedali, centri di ricerca e strutture sanitarie. In questo contesto, un attacco distruttivo contro l’infrastruttura IT di una realtà di tale portata non rappresenta soltanto un incidente informatico: si trasforma in un evento con potenziali implicazioni operative, industriali e sanitarie su scala internazionale.
Attacco wiper: cosa significa e quali sono le proporzioni dell’aggressione
Il gruppo Handala, che negli ultimi anni ha condotto diverse operazioni di hack and leak e sabotaggio digitale, ha pubblicato su Telegram una rivendicazione in cui afferma di aver colpito le infrastrutture informatiche di Stryker con un attacco di tipo wiper. L’operazione avrebbe cancellato dati su oltre 200.000 sistemi tra server, workstation e dispositivi mobili aziendali.
Un malware appartenente alla categoria wiper non mira alla monetizzazione tipica del ransomware. Il suo scopo consiste nella distruzione irreversibile delle informazioni memorizzate su un dispositivo.
In molti casi il codice malevolo sovrascrive file system e tabelle di allocazione del disco utilizzando accessi diretti al dispositivo di storage, spesso attraverso driver a basso livello come RawDisk. Il risultato è la perdita completa dei dati e, nei casi più gravi, l’impossibilità di avviare il sistema operativo.
Operazioni di questo tipo hanno precedenti rilevanti nel contesto geopolitico. Attacchi distruttivi simili sono stati associati negli anni a campagne come Shamoon contro il settore energetico mediorientale. La loro caratteristica principale consiste nell’impatto immediato sulle attività operative della vittima.
Microsoft Intune è indicato come lo strumento usato per cancellare i dati
Uno degli elementi più delicati emersi dalle prime ricostruzioni riguarda il possibile coinvolgimento del sistema di gestione dei dispositivi aziendali. Diverse testimonianze interne indicano che l’operazione potrebbe aver sfruttato funzionalità del software Microsoft Intune, una piattaforma di Unified Endpoint Management integrata nel cloud dell’azienda di Redmond.
Intune consente agli amministratori di controllare e configurare dispositivi Windows, macOS, iOS, Android e Linux utilizzati all’interno di un’organizzazione. Tra le funzioni disponibili figurano la distribuzione di aggiornamenti, la gestione delle policy di sicurezza, l’installazione di applicazioni e la cancellazione remota dei dati.
Se un attaccante riesce a compromettere un account amministrativo o l’infrastruttura di gestione associata, può utilizzare gli stessi strumenti legittimi dell’organizzazione per eseguire operazioni distruttive su larga scala. In scenari estremi diventa possibile inviare comandi di wipe simultanei a migliaia di endpoint, cancellando dati aziendali e configurazioni di accesso.
Alcuni dipendenti hanno riferito che anche dispositivi personali utilizzati per l’autenticazione a due fattori hanno subito la cancellazione delle credenziali. Il fenomeno suggerisce che i sistemi coinvolti includevano smartphone registrati nella piattaforma di gestione aziendale, spesso utilizzati per applicazioni di autenticazione o accesso remoto.
Impatto operativo sulla rete globale di Stryker
Le conseguenze dell’incidente sono apparse immediatamente visibili. Segnalazioni provenienti da sedi europee indicano che migliaia di dipendenti sono stati rimandati a casa dopo l’interruzione dei sistemi informatici aziendali. Alcuni uffici hanno sospeso temporaneamente le attività mentre i team di sicurezza lavoravano alla valutazione dell’impatto.
Secondo le rivendicazioni del gruppo, la cancellazione dei dati avrebbe costretto alla chiusura temporanea di uffici in numerosi Paesi. Non tutte le affermazioni degli attaccanti risultano verificabili in modo indipendente, ma l’azienda ha confermato di aver registrato interruzioni significative nei propri sistemi.
Il gruppo Handala ha collegato l’attacco a operazioni militari occidentali in Iran e a precedenti attività di cyber intelligence attribuite a USA e Israele.
La scelta di un bersaglio industriale nel settore sanitario non appare casuale. Aziende di tecnologia medica gestiscono infrastrutture critiche che supportano ospedali e sistemi sanitari in tutto il mondo. Un attacco informatico contro queste organizzazioni produce un impatto immediato sulla continuità operativa e genera una forte pressione mediatica.
Lezioni tecniche per la sicurezza delle infrastrutture aziendali
L’incidente evidenzia alcuni punti deboli comuni nelle infrastrutture IT aziendali moderne. La diffusione di piattaforme di gestione centralizzata dei dispositivi offre enormi vantaggi operativi ma introduce anche un punto di controllo altamente sensibile.
Se un attaccante compromette un sistema di gestione come Intune, VMware Workspace ONE o MobileIron, ottiene la capacità di distribuire software, modificare configurazioni di sicurezza e cancellare dati su larga scala. L’accesso privilegiato a queste piattaforme rappresenta quindi uno degli obiettivi principali nelle campagne di intrusione avanzate.
Per mitigare il rischio, le organizzazioni adottano strategie come autenticazione multifattore obbligatoria sugli account amministrativi, isolamento delle reti di gestione, monitoraggio continuo delle attività privilegiate e backup offline dei sistemi critici.
Anche la segmentazione delle infrastrutture cloud e la protezione degli ambienti Microsoft 365 con strumenti di analisi comportamentale contribuiscono a ridurre l’impatto di eventuali compromissioni.
L’attacco rivendicato contro Stryker mostra con chiarezza come le operazioni digitali distruttive possano colpire direttamente imprese civili coinvolte in settori strategici. In una fase di crescente tensione internazionale, le aziende con infrastrutture globali diventano bersagli sempre più probabili per operazioni di sabotaggio informatico.
/https://www.ilsoftware.it/app/uploads/2026/03/chat-control-scansione-chat-private-stop.jpg "Chat Control, svolta UE: stop alla scansione di massa delle chat")
/https://www.ilsoftware.it/app/uploads/2026/03/vulnerabilita-copilot-excel-sottrazione-dati-riservati.jpg "Bug in Excel trasforma Copilot in un rischio zero click per i dati aziendali")
/https://www.ilsoftware.it/app/uploads/2026/03/passkey-anti-phishing-windows-microsoft-entra.jpg "Microsoft porta accessi anti-phishing su Windows con le passkey")
/https://www.ilsoftware.it/app/uploads/2024/09/1.jpg "Meta potenzia l'AI contro le truffe su WhatsApp e Facebook")