Stryker nel caos: Handala usa Microsoft Intune per un wiper globale e blocca la supply chain sanitaria

Un grave attacco informatico ha colpito Stryker, multinazionale della tecnologia medica con sede negli Stati Uniti e presenza globale. Un gruppo hacktivista noto come Handala ha rivendicato un wiper attack su larga scala, sostenendo di aver causato la chiusura di uffici in decine di paesi e di aver cancellato dati da un numero enorme di sistemi, server e dispositivi mobili.

In Irlanda, uno dei principali hub operativi dell’azienda, migliaia di dipendenti sarebbero stati rimandati a casa mentre i servizi interni risultavano indisponibili. Anche le comunicazioni con la sede statunitense hanno segnalato una situazione di emergenza operativa, indice di un impatto significativo sulla continuità aziendale.

Il punto centrale di questa vicenda non è solo la rivendicazione, ma la modalità tecnica ipotizzata. Fonti vicine alle indagini indicano che l’attacco potrebbe non aver richiesto malware tradizionale per sovrascrivere i dati. Invece, gli aggressori avrebbero sfruttato Microsoft Intune, una piattaforma cloud per la gestione dei dispositivi aziendali, per inviare comandi di cancellazione remota ai dispositivi registrati. Se confermato, questo scenario evidenzia un rischio critico: gli strumenti di endpoint management, pensati per aumentare sicurezza e compliance, possono diventare un moltiplicatore di danno se un attore ostile ottiene credenziali privilegiate o accesso amministrativo.

Le segnalazioni parlano di dispositivi aziendali resettati e di accessi compromessi anche su telefoni personali che avevano configurazioni collegate a servizi come Microsoft Outlook. In parallelo, alcuni dipendenti avrebbero ricevuto indicazioni urgenti per disinstallare i componenti di gestione, a dimostrazione del tentativo di contenere la propagazione dei comandi di wipe. Il gruppo Handala è stato associato a interessi iraniani e a un ecosistema di attori collegati a strutture di intelligence, con tattiche descritte come opportunistiche e orientate alla massima visibilità, spesso tramite prove pubbliche e messaggi intimidatori.

L’attacco a Stryker solleva inoltre un tema di cybersecurity nella sanità: la dipendenza dalla supply chain di dispositivi e materiali. Strutture ospedaliere e professionisti sanitari hanno segnalato difficoltà nell’ordinare forniture chirurgiche, e alcuni ospedali avrebbero scelto di disconnettersi in via precauzionale dai servizi online del fornitore. Tra questi viene citato anche LifeNet, usato dai soccorritori per trasmettere tracciati ECG agli ospedali, un servizio che può incidere sui tempi di trattamento in emergenza.