Cercherò di fare luce sul l’attacco informatico denominato Stryker.
Data: 11 marzo 2026
Azienda: Stryker (colosso medicale USA)
Attaccanti: gruppo Handala, collegato all’Iran
Impatto: forte disruption operativa globale
Il caso Stryker, quando la sicurezza informatica viene aggirata senza hackerare nulla
Nel marzo 2026, l’attacco informatico subito da Stryker non ha rappresentato soltanto un incidente di sicurezza. Ha segnato un cambio di paradigma.
Non si è trattato di ransomware.
Non si è trattato di malware avanzato.
E, soprattutto, non si è trattato di un attacco “contro” i sistemi.
È stato un attacco attraverso i sistemi.
Secondo le analisi tecniche disponibili, il gruppo Handala, associato a interessi iraniani, è riuscito a compromettere un account amministrativo all’interno dell’infrastruttura Microsoft dell’azienda. Da quel momento, non ha più avuto bisogno di forzare nulla.
Ha semplicemente operato come un amministratore legittimo.
Attraverso Microsoft Intune, piattaforma progettata per la gestione sicura dei dispositivi aziendali, gli attaccanti hanno inviato comandi di cancellazione remota su scala globale. In poche ore, decine di migliaia di dispositivi sono stati resi inutilizzabili.
Nessun exploit sofisticato.
Nessuna vulnerabilità zero-day.
Solo identità compromesse.
Questo è il punto che molti sottovalutano: la sicurezza moderna non viene più violata aggirando le difese, ma impersonando chi ha il diritto di usarle.
Il caso Stryker dimostra in modo inequivocabile che il vero perimetro non è più la rete, ma l’identità digitale. Firewall, antivirus e sistemi EDR diventano irrilevanti nel momento in cui un attaccante ottiene privilegi amministrativi.
In questo scenario, strumenti nati per proteggere diventano armi.
Microsoft Intune non è stato violato. È stato utilizzato correttamente, ma da chi non avrebbe dovuto avere accesso.
Ed è proprio qui che si apre la riflessione più critica: molte organizzazioni continuano a investire in tecnologie difensive senza affrontare il nodo centrale, ovvero la gestione delle identità privilegiate.
Il risultato è un paradosso sempre più evidente: sistemi sempre più sicuri, ma sempre più facili da usare contro se stessi.
L’attacco a Stryker non è un caso isolato. È un segnale.
Un segnale che indica chiaramente come la nuova frontiera della sicurezza informatica non sia più la protezione dei sistemi, ma il controllo rigoroso di chi può comandarli.
E chi, oggi, sottovaluta questo passaggio, sta già operando in un modello di sicurezza obsoleto.
I dati tra verità e propaganda
Le fonti confermano che decine di migliaia di dispositivi sono stati cancellati e che è stato colpito l’ambiente Microsoft interno (TechCrunch).
La Tecnica di attacco è stata “Living off the Land” con Intune. Gli hacker hanno quindi usato Microsoft Intune, che è una componente legittima e per questo motivo non è stato utilizzato alcun malware tradizionale ma esclusivamente l’uso di remote wipe.
- accesso tramite account admin compromesso
- creazione di privilegi elevati
- wipe remoto su larga scala
✔️ Confermato da più fonti
Numero dispositivi
Decine di migliaia (fino a ~80.000 verificati)
Dati rubati
- 50 TB → dichiarato dagli attaccanti, NON confermato
- nessuna prova concreta di esfiltrazione
- 12 petabyte → non ho trovato in nessuna fonte affidabile
Impatto sugli ospedali (interventi rimandati)
Stryker ha avuto problemi operativi (ordini, produzione) ma:
- dispositivi medici NON compromessi
- nessuna conferma diretta di interventi cancellati
👉 Quindi: disruption reale ma l’impatto sanitario diretto non è dimostrato
Shutdown totale e PC spenti
- forte disruption globale e ritorno a processi manuali
Non c’è stata alcuna conferma ufficiale sulla dichiarazione che addirittura non si sia roiuscito ad accendere i computer.
👉 plausibile, ma non verificato
FBI e sequestro domini
- sequestro di domini Handala e collegamento con intelligence iraniana (MOIS)
✔️ Confermato:
Motivazioni geopolitiche
Su questo punto la narrazione che ho trovato sul web entra spesso in dichiarazioni propagandistiche e per o più non verificate.
Sicuramente il contesto è quello del conflitto Iran-USA-Israele e che Handala, il principale attore responsabile degli attacchi informatici riconducibili alla Repubblica islamica, parla di rappresaglia ma i dettagli di revenge legati all’attacco alla scuola elementare femminile Shajareh Tayyebeh di Minab non risultano in alcun modo verificati.
Significato strategico dell’attacco
- attacco identity-based
- abuso di strumenti IT aziendali
- bypass totale dei sistemi di sicurezza tradizionali
