Scatta l’allarme rosso per le multinazionali di tutto il mondo, colpite al cuore da due devastanti cyber-attacchi. Da una parte, il clamoroso tradimento di un ex ingegnere informatico che ha sfruttato i propri accessi per prendere in ostaggio migliaia di computer Windows aziendali, pretendendo un riscatto milionario in Bitcoin per non spegnerli uno a uno. Dall’altra, la furia letale di un gruppo di spietati hacker che ha messo in ginocchio il colosso medico Stryker: un virus distruttivo ha letteralmente “bruciato” i sistemi di ben 80.000 dispositivi in un istante, rubando prima 50 Terabyte di file riservatissimi. Due scenari da brivido che dimostrano quanto sia facile, per un nemico interno o esterno, paralizzare completamente un’intera azienda globale. Le minacce interne e gli attacchi distruttivi tornano al centro della sicurezza enterprise con due episodi che mostrano quanto rapidamente una rete globale possa essere paralizzata. Da una parte l’ex ingegnere Daniel Rhyne ha ammesso di aver orchestrato un piano di estorsione che ha bloccato l’accesso a migliaia di dispositivi Windows usando strumenti amministrativi perfettamente legittimi. Dall’altra il gigante medtech Stryker ha annunciato il pieno recupero dopo un devastante attacco di data wiping attribuito al gruppo Handala, che ha colpito quasi 80.000 sistemi e portato al furto di 50 terabyte di dati. I due casi dimostrano come insider e hacktivisti possano produrre impatti operativi comparabili, costringendo le aziende a ripensare privilegi, backup e risposta agli incidenti.
Cosa leggere
Daniel Rhyne ammette hacking e tentata estorsione sulla rete Windows
Il caso giudiziario che coinvolge Daniel Rhyne, 57 anni, evidenzia in modo esemplare il rischio insider. L’ex core infrastructure engineer di un’azienda industriale del New Jersey ha sfruttato il proprio account amministrativo per accedere da remoto alla rete tra il 9 e il 25 novembre 2023, modificando in profondità l’infrastruttura Active Directory. Ha cambiato le password di 13 account domain admin e di 301 account utente, impostandole tutte sulla stessa stringa, e ha inoltre alterato le credenziali di amministratori locali che interessavano 3.284 workstation e 254 server. L’effetto è stato il blocco quasi totale dell’accesso amministrativo, con il team IT escluso dalla gestione del dominio e impossibilitato a reagire in modo rapido.
I task schedulati sul domain controller hanno amplificato il danno
Uno degli elementi più gravi dell’attacco è stata la pianificazione di task automatizzati sul domain controller Windows. Rhyne ha utilizzato gli strumenti nativi del sistema per eliminare account, resettare password in massa e programmare lo spegnimento casuale di server e workstation su più giornate di dicembre 2023. La scelta di usare funzioni standard di Windows ha reso l’operazione particolarmente insidiosa, perché non richiedeva malware esterno e risultava inizialmente compatibile con normali attività di amministrazione. Parallelamente l’ex dipendente ha eliminato i backup dei server, riducendo drasticamente la possibilità di ripristino immediato e aumentando la pressione sull’azienda.
La richiesta di 20 bitcoin puntava a massimizzare il caos operativo
Il 25 novembre l’ex ingegnere ha inviato ai colleghi una mail con oggetto Your Network Has Been Penetrated, rivendicando il controllo della rete e chiedendo il pagamento di 20 bitcoin, all’epoca pari a circa 688.000 euro. Nel messaggio minacciava di spegnere 40 server al giorno per dieci giorni in assenza di pagamento. La strategia mostra un approccio di estorsione graduale: non un blocco immediato totale, ma una pressione progressiva costruita per aumentare il danno reputazionale e operativo. Gli investigatori hanno ricostruito anche le sue ricerche online sui comandi Windows per modificare password remote, cancellare log e gestire account di dominio, confermando la premeditazione tecnica dell’intero piano.
L’attacco Handala contro Stryker ha colpito 80.000 dispositivi
Sul fronte delle minacce esterne, il caso Stryker dimostra la violenza operativa dei wiper moderni. Il gruppo Handala, legato a operazioni hacktiviste di matrice iraniana, ha compromesso un account domain admin Windows l’11 marzo 2026, creando poi un nuovo Global Administrator per mantenere persistenza. Dopo l’accesso iniziale ha esfiltrato 50 TB di dati sensibili, per poi distribuire un payload di wiping che ha colpito quasi 80.000 dispositivi tra sistemi Windows, server e nodi di produzione. L’impatto è stato immediato su ordini, logistica, produzione e distribuzione globale, con un rischio diretto anche per la supply chain medica.
Handala conferma l’evoluzione degli attacchi distruttivi geopolitici
Handala, noto anche come Handala Hack Team o Hamsa, è emerso nel 2023 come operazione pro-palestinese collegata al contesto iraniano. Il gruppo ha già mostrato capacità di wiping su Windows e Linux, ma il caso Stryker alza ulteriormente il livello per scala e rapidità. L’uso di file malevoli pensati per mascherare il movimento laterale e la cancellazione coordinata dei sistemi mostra un livello di pianificazione compatibile con attori ben organizzati. In scenari di questo tipo il vero obiettivo non è solo il furto dati, ma la paralisi immediata delle funzioni critiche e la pressione sull’immagine globale dell’azienda colpita.
Stryker completa il recupero in tre settimane senza fermare la supply chain
L’aspetto più rilevante del caso Stryker è però la velocità del recupero. Il 2 aprile 2026, circa tre settimane dopo l’attacco, l’azienda ha comunicato il ritorno alla piena operatività della rete di produzione globale. I sistemi di ordini, distribuzione e supply chain sono stati ripristinati fino ai livelli pre-incidente, con disponibilità elevata su quasi tutte le linee di prodotto. La rapidità suggerisce la presenza di piani di continuità molto maturi, backup isolati e procedure di disaster recovery già testate in scenari realistici. In un settore come il medtech, dove eventuali interruzioni possono riflettersi su sale operatorie e assistenza ai pazienti, questo elemento ha un valore strategico enorme.
Insider e wiper impongono nuove difese su Active Directory e backup
I due episodi convergono su una lezione chiara: la superficie più critica resta la gestione degli account privilegiati. Nel caso Rhyne è bastato l’abuso di accessi leciti e task nativi di Windows per bloccare migliaia di endpoint. Nel caso Stryker, la compromissione di un domain admin ha aperto la strada al wiping massivo. Le aziende devono quindi rafforzare least privilege, MFA sugli admin, monitoraggio dei task schedulati, alert su reset password in massa e backup immutabili offline. Anche la segmentazione tra dominio, server di backup e ambienti di produzione diventa fondamentale per limitare il blast radius.
Il nuovo scenario unisce insider malintenzionati e gruppi statali
La combinazione di insider threat e gruppi geopolitici rende il 2026 uno scenario particolarmente complesso. Da un lato ex dipendenti o amministratori scontenti possono usare strumenti nativi per creare estorsioni credibili. Dall’altro attori come Handala portano attacchi distruttivi ad alta velocità contro aziende globali. La risposta richiede difese multilivello: EDR, SIEM, immutabilità dei backup, monitoraggio degli accessi privilegiati e tabletop exercise orientati ai wiper. I casi di Rhyne e Stryker mostrano che la differenza tra paralisi totale e recupero in pochi giorni si gioca soprattutto sulla preparazione preventiva.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
