L'arma del Cloud: l’attacco di Handala e il sabotaggio strategico di Microsoft Intune

Pubblicato da ISF Magazine in Articoli · Martedì 24 Mar 2026 · 7:15
Tags: Cybersecurity, Microsoft365, EndpointManagement, CloudManagement

Autore: dr.ssa Erica MALAFRONTE

Cybersecurity Analyst - Istituto di Scienze Forensi Centro di Ricerca

La Cybersecurity and Infrastructure Security Agency (CISA) ha esortato le organizzazioni statunitensi a seguire le linee guida di Microsoft per rafforzare lo strumento di gestione degli endpoint Microsoft Intune, dopo che un attacco informatico lo ha sfruttato per compromettere i sistemi del gigante della tecnologia medica Stryker.

Ma cosa è successo?

Un attacco su scala globale: il caso Stryker

L'11 marzo 2026, il colosso statunitense della tecnologia medica Stryker Corporation è diventato il bersaglio di una delle operazioni di sabotaggio informatico più vaste e distruttive mai registrate.

L'attacco, rivendicato dal gruppo iraniano Handala (noto anche come Void Manticore o Storm-842), ha causato una paralisi operativa globale, colpendo infrastrutture critiche in 79 Paesi.

Contesto geopolitico e ritorsioni

Il gruppo Handala Hack (noto anche come Void Manticore o Storm-0842), attore legato al Ministero dell'Intelligence e della Sicurezza iraniano (MOIS), ha dichiarato che l'operazione è stata una ritorsione diretta per un attacco missilistico statunitense avvenuto il 28 febbraio 2026 contro una scuola femminile a Minab, in Iran, che avrebbe causato 175 vittime.

Stryker è stata colpita non solo per la sua rilevanza economica ($25 miliardi di vendite), ma anche per i suoi contratti da $450 milioni con il Dipartimento della Difesa degli Stati Uniti e i suoi legami con Israele.

Analisi tecnica: come funziona Microsoft Intune

Per comprendere la portata del sabotaggio, è necessario analizzare il funzionamento di Microsoft Intune. Si tratta di un servizio di Mobile Device Management (MDM) basato sul cloud che funge da centro di invio di configurazioni per gli uffici IT.

Attraverso politiche BYOD (Bring Your Own Device), le aziende richiedono ai dipendenti di registrare i propri dispositivi personali per accedere a risorse aziendali come email o Teams.

Questo concede al reparto IT la supervisione amministrativa del dispositivo.
Una delle funzioni standard di Intune è il "Wipe" (cancellazione remota): un interruttore di emergenza progettato per ripristinare i dati di fabbrica su un dispositivo smarrito o rubato.

La catena d'attacco

L'operazione non ha sfruttato vulnerabilità "zero-day", ma ha preso di mira il punto più debole: l'identità digitale.

Accesso amministrativo. Gli attaccanti hanno compromesso credenziali di alto livello (account Global Administrator) per l'ambiente Microsoft Intune di Stryker. In questo modo, hanno ottenuto il controllo totale del pannello di comando utilizzato dall'azienda per gestire i dispositivi dei dipendenti;
esecuzione del Wiper. Invece di distribuire un virus, gli hacker hanno semplicemente selezionato tutti i dispositivi registrati e attivato il comando legittimo di “Wipe” simultaneo.

Risposta del Sistema Operativo: quando un iPhone o un dispositivo Android riceve un comando di wipe dal suo server MDM affidabile, il sistema operativo obbedisce immediatamente e senza riserve, avviando un ripristino completo delle impostazioni di fabbrica.

A causa di questa azione, i telefoni hanno rimosso non solo le app aziendali, ma hanno eseguito un reset completo del sistema operativo, cancellando foto personali, applicazioni bancarie e persino le eSIM cellulari, lasciando molti utenti impossibilitati a utilizzare l'autenticazione a due fattori (2FA) per i propri account privati.

Le pagine di accesso dei dispositivi rimasti attivi sono state compromesse e alterate, mostrando il logo di Handala.

Le fonti indicano che oltre 200.000 sistemi, inclusi server e dispositivi mobili in 79 paesi, sono stati colpiti da questo attacco.

Per massimizzare il danno, Handala ha utilizzato simultaneamente diversi metodi di distruzione:

sistemi offline e GPO. Per colpire i computer non connessi al momento dell'ordine iniziale, gli attaccanti hanno preparato script malevoli distribuiti come Group Policy (GPO) legittime dal Domain Controller. Al ricollegarsi alla rete, i sistemi eseguivano automaticamente il wiper;
PowerShell e Intelligenza Artificiale. Stato distribuito un ulteriore wiper basato su un PowerShell script, probabilmente sviluppato con l'assistenza dell'Intelligenza Artificiale, capace di enumerare e cancellare ricorsivamente tutte le directory degli utenti;
crittografia VeraCrypt e RDP. Per i sistemi sopravvissuti, gli aggressori hanno utilizzato VeraCrypt per cifrare i drive, mentre hanno impiegato l'accesso diretto tramite RDP per eliminare manualmente le macchine virtuali (VM) dalle piattaforme di virtualizzazione.

Impatto globale e conseguenze operative

L'impatto è stato catastrofico:

perdita di dati. Handala ha dichiarato di aver cancellato i dati di oltre 200.000 sistemi, server e dispositivi mobili, oltre ad aver esfiltrato 50 terabyte di dati critici. Il gruppo ha inoltre minacciato di renderli pubblici, affermando che l’obiettivo è denunciare quella che definisce “ingiustizia e corruzione”;
paralisi del lavoro. In Irlanda, oltre 5.000 lavoratori sono stati rimandati a casa a causa dell'inaccessibilità totale della rete;
impatto economico. Il titolo azionario della società Stryker è sceso di circa il 3,6% lo stesso giorno;
interruzione dei servizi medici. L'attacco ha messo fuori uso la piattaforma LifeNet in diverse aree, come ad esempio nello stato del Maryland, dove il sistema è andato offline in gran parte del territorio. Lifenet viene utilizzata per trasmettere elettrocardiogrammi (ECG) in tempo reale dai paramedici agli ospedali. Il personale medico di emergenza è stato istruito a ricorrere alle consultazioni via radio per descrivere verbalmente i risultati degli elettrocardiogrammi ai medici riceventi.

L'attacco del gruppo Handala contro Stryker ha evidenziato come il piano di gestione cloud (management plane) sia diventato il nuovo perimetro critico della sicurezza aziendale.

In un'infrastruttura moderna, strumenti come Microsoft Intune centralizzano il controllo di centinaia di migliaia di dispositivi in un unico dashboard per garantire efficienza operativa; tuttavia, questa stessa centralizzazione trasforma il portale in un singolo punto di fallimento catastrofico.

Se un attaccante ottiene le credenziali amministrative, entra in possesso del "telecomando principale" dell'intera organizzazione, potendo causare danni massicci senza dover violare singolarmente ogni endpoint.

L'operazione condotta da Handala/Void Manticore dimostra che nella cyber guerra moderna i sabotatori non hanno più bisogno di sviluppare malware complessi o exploit zero-day.

È sufficiente abusare della fiducia riposta nelle suite di gestione legittime: se un'azienda utilizza un software per gestire e proteggere i propri asset, un aggressore con le giuste chiavi può usare quello stesso software per annientarli.
Per questo motivo diventa fondamentale implementare misure di sicurezza e politiche di governance adeguate per proteggere i sistemi di gestione centralizzati.
Tra le principali pratiche di prevenzione rientrano l'adozione dell'autenticazione multi fattore (MFA) per tutti gli account privilegiati, l'applicazione del principio del least privilege, la segmentazione dei ruoli amministrativi, il monitoraggio e logging continuo delle attività amministrative, oltre alla rotazione periodica delle credenziali sensibili e alla verifica costante delle configurazioni di sicurezza.

L'identità non è più solo un controllo di accesso, ma il vero e proprio nuovo perimetro di difesa nazionale e aziendale: proteggere gli account privilegiati e i sistemi di gestione significa, di fatto, proteggere l'intera infrastruttura. Una governance della sicurezza solida e proattiva diventa quindi la condizione necessaria per evitare che strumenti progettati per difendere l'organizzazione possano trasformarsi, nelle mani sbagliate, nelle armi più efficaci contro di essa.

Riproduzione riservata

Risorse Microsoft

Raccomandazioni sulla protezione di Microsoft Intune: Best practices for securing Microsoft Intune.
Indicazioni sull'implementazione della Multi Admin Approval in Microsoft Intune: Use Access policies to implement Multi Admin Approval.
Configurazione di Microsoft Intune utilizzando i principi Zero Trust: Configure Microsoft Intune for increased security.
Implementazione delle policy RBAC di Microsoft Intune: Role-based access control (RBAC) with Microsoft Intune.
Indicazioni sulla distribuzione di Privileged Identity Management (PIM) su Microsoft Intune, Entra ID e altri software Microsoft: Plan a Privileged Identity Management deployment.

Note

Rithula Nisha: Stryker Cyber Attack: Iranian Threat Actor Claims Revenge, 2026.

https://cybermagazine.com/news/iran-war-cyber-front-stryker-cyber-attack

Ecosistema Startup: Hackers iraníes atacan Stryker con wiper via Intune (2026).

https://ecosistemastartup.com/hackers-iranies-atacan-stryker-con-wiper-via-intune/

Krebs on Security (Brian Krebs): Iran-Backed Hackers Claim Wiper Attack on Medtech Firm Stryker (2026).

https://krebsonsecurity.com/2026/03/iran-backed-hackers-claim-wiper-attack-on-medtech-firm-stryker/

Reddit (r/cybersecurity): Stryker Hit by Handala - Intune Managed Devices Wiped (2026).

https://www.reddit.com/r/cybersecurity/comments/1rqopq0/stryker_hit_by_handala_intune_managed_devices/

SecureWorld (Drew Todd): Iran-Linked Hacktivist Group Hits Stryker in Destructive Wiper Attack (2026).

https://www.secureworld.io/industry-news/iran-linked-hacktivist-group-weaponizes-microsoft-intune-in-destructive-wiper-attack-on-stryker

SOCRadar: Dark Web Profile: Handala Hack (2026).

https://socradar.io/blog/dark-web-profile-handala-hack/

“Handala Hack” - Unveiling Group’s Modus Operandi (2026).

https://research.checkpoint.com/2026/handala-hack-unveiling-groups-modus-operandi/

Undercode Testing (HackMoN Ai): Iran-Linked Handala Hackers Weaponize Microsoft Intune: The Wiper Attack Blueprint You Must Defend Against Now (2026).

https://undercodetesting.com/iran-linked-handala-hackers-weaponize-microsoft-intune-the-wiper-attack-blueprint-you-must-defend-against-now/

WION (Tarun Mishra): Stryker uses Microsoft, but how did Iran hack iPhones of its employees? Understanding the Handala cyberattack (2026).

https://www.wionews.com/photos/stryker-uses-microsoft-but-how-did-iran-hack-iphones-of-its-employees-understanding-the-handala-cyberattack-1773310596097/1773310596098

CISA (America’s Cyber Defense Agency): CISA Urges Endpoint Management System Hardening After Cyberattack Against US Organization (2026).

https://www.cisa.gov/news-events/alerts/2026/03/18/cisa-urges-endpoint-management-system-hardening-after-cyberattack-against-us-organization