Stryker subisce un attacco informatico che cancella circa 80.000 dispositivi tramite Microsoft Intune senza l’uso di malware. Il gruppo Handala, legato all’Iran, rivendica l’operazione condotta l’11 marzo 2026 sfruttando credenziali amministrative compromesse. L’incidente colpisce i sistemi aziendali ma non coinvolge i dispositivi medici. L’attacco dimostra come strumenti di gestione legittimi possano diventare vettori di distruzione su larga scala. I sistemi di ordinazione elettronica sono andati offline, costringendo l’azienda a operare manualmente. La continuità sanitaria è stata però mantenuta. Il caso evidenzia una nuova classe di attacchi senza malware basati sull’abuso di privilegi.
Cosa leggere
Handala rivendica l’attacco e utilizza Intune per il wipe massivo
Il gruppo Handala dichiara di aver cancellato oltre 200.000 sistemi, ma le analisi confermano circa 80.000 dispositivi effettivamente colpiti, tra cui computer aziendali e dispositivi mobili gestiti centralmente. Alcuni device personali dei dipendenti risultano coinvolti a causa dell’integrazione con l’infrastruttura aziendale. Gli attaccanti hanno compromesso un account amministrativo di Microsoft Intune, creando successivamente un nuovo Global Administrator. Da questo punto di controllo hanno avviato il comando di wipe remoto su larga scala, cancellando dati, applicazioni e configurazioni in poche ore. L’operazione si è svolta tra le 5:00 e le 8:00 UTC dell’11 marzo, colpendo simultaneamente sedi distribuite a livello globale. Molti dipendenti hanno scoperto i dispositivi completamente resettati all’inizio della giornata lavorativa.
Microsoft Intune consente il wipe remoto senza uso di malware
La particolarità dell’attacco risiede nell’assenza totale di codice malevolo. Microsoft Intune include una funzione legittima di wipe remoto progettata per proteggere i dati aziendali in caso di furto o smarrimento dei dispositivi. Questa funzione consente di riportare i device alle impostazioni di fabbrica, eliminando tutti i contenuti locali e aziendali. Gli attaccanti hanno semplicemente abusato di questa capacità dopo aver ottenuto privilegi amministrativi. Dal punto di vista tecnico, Intune è progettato per gestire flotte di decine di migliaia di dispositivi contemporaneamente. Questo lo rende estremamente potente ma anche pericoloso se i controlli sugli account privilegiati vengono compromessi. Stryker ha confermato che l’incidente è rimasto confinato all’ambiente Microsoft e non ha coinvolto infrastrutture cloud su AWS o Google Cloud.
Stryker attiva il piano di risposta e mantiene le operazioni critiche
L’azienda ha reagito immediatamente attivando il proprio piano di incident response. Team interni ed esperti esterni sono stati coinvolti insieme alle autorità competenti per contenere l’impatto e avviare le indagini. Le operazioni aziendali hanno subito interruzioni significative, in particolare nei sistemi di ordinazione elettronica. La produzione e la distribuzione hanno registrato rallentamenti, mentre fornitori e strutture ospedaliere hanno temporaneamente sospeso alcune comunicazioni digitali. Per garantire la continuità operativa, il personale è passato a processi manuali. Stryker ha aumentato i turni di lavoro e allocato risorse aggiuntive per gestire i backlog generati dall’interruzione dei sistemi. Questo approccio ha permesso di mantenere attive le funzioni essenziali nonostante la perdita temporanea dell’infrastruttura digitale.
I dispositivi medici restano isolati e non vengono compromessi
Uno degli elementi più rilevanti è la totale separazione tra sistemi IT aziendali e dispositivi medici. Stryker ha confermato che prodotti come LIFEPAK, Mako, SurgiCount, Triton e le piattaforme di visualizzazione chirurgica non sono stati coinvolti. Anche soluzioni come Vocera e care.ai continuano a operare normalmente grazie a infrastrutture indipendenti. Questo isolamento ha impedito che l’attacco avesse conseguenze dirette sulla sicurezza dei pazienti o sulle operazioni cliniche. I flussi di dati relativi ai clienti e alle strutture sanitarie sono rimasti intatti, dimostrando l’efficacia di una segmentazione architetturale tra ambienti critici e sistemi amministrativi. La continuità dei servizi sanitari è stata quindi preservata nonostante la portata dell’incidente.
Il messaggio ufficiale rassicura clienti e partner sulla gestione dell’incidente
Stryker ha pubblicato una comunicazione ufficiale per informare clienti e partner. L’azienda ha sottolineato che i sistemi core sono in fase di ripristino e che le operazioni stanno gradualmente tornando alla normalità. Gli ordini effettuati prima dell’attacco verranno riconciliati una volta che i sistemi saranno completamente operativi. I clienti possono contare su supporto diretto tramite rappresentanti locali, email e canali telefonici. La comunicazione punta a mantenere trasparenza e fiducia, elementi cruciali in un settore come quello medtech dove la continuità delle forniture è fondamentale. Stryker invita inoltre a monitorare gli aggiornamenti ufficiali per seguire l’evoluzione della situazione.
L’impatto globale coinvolge 79 paesi e rallenta le operazioni
Stryker opera in 79 paesi, e l’attacco ha avuto effetti su scala globale. In diverse sedi, i dipendenti sono tornati a utilizzare strumenti analogici come carta e penna per gestire attività quotidiane. I sistemi di ordinazione elettronica sono rimasti offline per giorni, generando ritardi potenziali nelle forniture ospedaliere. Tuttavia, grazie ai piani di continuità operativa, i servizi critici non sono stati interrotti. L’azienda ha intensificato i controlli di sicurezza, avviato scansioni approfondite e rafforzato le policy di accesso per prevenire ulteriori incidenti. La collaborazione con agenzie governative e specialisti di cybersecurity è attualmente in corso per chiarire le modalità della compromissione iniziale.
Microsoft Intune diventa caso studio per la sicurezza enterprise
L’incidente trasforma Microsoft Intune in un caso emblematico per la sicurezza delle infrastrutture enterprise. Lo strumento dimostra la sua efficacia nella gestione centralizzata ma anche il rischio associato a privilegi elevati non adeguatamente protetti. La funzione di wipe, progettata per proteggere i dati, può diventare un’arma distruttiva se utilizzata da attori malevoli. La documentazione ufficiale conferma che il comando cancella completamente i dispositivi, evidenziando la necessità di controlli più stringenti. Tra le misure emergenti si includono autenticazione multifattore obbligatoria, approvazioni multiple per operazioni critiche e monitoraggio continuo delle attività amministrative. Questo caso potrebbe influenzare le future best practice nel settore.
Stryker accelera il ripristino e rafforza le difese interne
L’azienda ha mobilitato risorse aggiuntive per accelerare il ripristino dei sistemi. I team lavorano su turni estesi per ridurre i tempi di recupero e smaltire le operazioni arretrate. Le misure di sicurezza sono state aggiornate con controlli più rigorosi sugli accessi e verifiche approfondite sugli ambienti cloud. Stryker mantiene un approccio trasparente, comunicando regolarmente con clienti e partner. Le indagini proseguono per identificare il punto di ingresso iniziale e comprendere se siano state sfruttate credenziali rubate, phishing o altre tecniche di compromissione. L’obiettivo è evitare che episodi simili possano ripetersi.
L’attacco dimostra i rischi degli accessi privilegiati nelle grandi organizzazioni
Il caso Stryker evidenzia una dinamica sempre più rilevante: gli attacchi non richiedono necessariamente malware sofisticati. L’accesso a un account amministrativo può essere sufficiente per causare danni estesi e immediati. Le organizzazioni devono quindi rafforzare la gestione degli accessi privilegiati, implementare controlli multilivello e monitorare costantemente le attività critiche. Le funzioni di gestione remota, pur essendo essenziali, devono essere protette con livelli di sicurezza adeguati. Nel contesto medtech, dove la continuità operativa è fondamentale, bilanciare efficienza e sicurezza diventa una priorità strategica. L’attacco rappresenta un punto di svolta nella comprensione delle minacce moderne e nella progettazione delle difese future.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
