Domenica 05 Luglio 2026 09:01:34 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Cloud, SaaS & Identity Security

Caos nel cloud: come una singola credenziale ha permesso agli hacker di annientare la dorsale IT globale di Stryker

Pubblicato: 17 Marzo 2026 09:34Categoria: Cloud, SaaS & Identity SecurityArea: North AmericaAutore: NEURALSHIELD

Sottotitolo: Un gruppo hacktivista filo-iraniano ha trasformato in arma la cancellazione remota di Microsoft Intune per paralizzare un colosso della tecnologia medicale-senza distribuire neppure un singolo malware.

È iniziato come un’anomalia sui monitor di rete di Stryker-poi, nel giro di poche ore, decine di migliaia di computer in 79 Paesi si sono spenti. Ai dipendenti è stato detto: spegnete, scollegate e preparatevi al caos. Il colpevole? Non ransomware, non un nuovo virus, ma un attacco devastante che ha usato nient’altro che gli stessi strumenti di gestione cloud dell’azienda, rivoltati contro di essa.

Da anni gli esperti di sicurezza mettono in guardia dai pericoli degli attacchi “living-off-the-land”-quelli che sfruttano strumenti legittimi per eludere il rilevamento. L’odissea di Stryker è un caso di studio agghiacciante. L’11 marzo 2026, degli hacker hanno ottenuto credenziali amministrative per il cloud Microsoft Intune dell’azienda. Con le chiavi del regno in mano, gli attaccanti hanno impartito comandi di cancellazione remota, riportando alle impostazioni di fabbrica migliaia di dispositivi Windows in tutto il mondo. La portata è stata sconcertante: fino al 95% degli endpoint in alcuni uffici è stato azzerato prima che i team IT potessero intervenire.

Il gruppo che rivendica l’azione, Handala, non è nuovo a operazioni cyber a forte connotazione politica ed è ampiamente ritenuto operare sotto l’influenza del Ministero dell’Intelligence e della Sicurezza iraniano. Nel loro comunicato si vantavano di aver cancellato oltre 200.000 sistemi e di aver sottratto 50 terabyte di dati, anche se le cifre esatte restano non verificate. Ciò che è certo è l’interruzione operativa senza precedenti: servizi Microsoft interni, linee di produzione e spedizioni globali si sono fermati.

A differenza degli attacchi tradizionali, non sono state trovate tracce di malware o ransomware. Invece, gli attaccanti hanno abusato delle stesse capacità di gestione remota di Intune-un promemoria netto dei rischi posti da identità cloud compromesse. Antivirus standard e strumenti di rilevamento sugli endpoint erano impotenti; i comandi provenivano da un account amministratore fidato, non da un binario sospetto.

Eppure la pianificazione di crisi di Stryker ha dato i suoi frutti. Piattaforme sanitarie critiche, robotica chirurgica e dispositivi rivolti ai pazienti erano isolati a livello architetturale dall’ambiente Microsoft aziendale. I sistemi su AWS, Google Cloud o Linux non sono stati toccati, garantendo che l’assistenza ai pazienti e le operazioni ospedaliere continuassero senza interruzioni.

La risposta di Stryker è stata rapida: i dipendenti hanno scollegato i dispositivi, processi manuali hanno sostituito i flussi di lavoro digitali e un reset d’emergenza delle credenziali ha attraversato l’organizzazione. Ora l’azienda affronta un duro momento di resa dei conti-non solo nel ricostruire l’infrastruttura IT, ma nel ripensare quanta fiducia venga riposta nella gestione cloud centralizzata e come le identità vengano protette su larga scala.

Mentre la polvere si posa, l’incidente Stryker si impone come un avvertimento per ogni impresa: la vostra minaccia più grande potrebbe non essere un malware esotico, ma proprio gli strumenti su cui fate maggior affidamento. Nell’era del cloud, proteggere identità e accessi è ormai la prima linea della difesa informatica.

WIKICROOK

  • Living: Living off the Land significa che gli attaccanti usano strumenti di sistema fidati (LOLBins) per azioni malevole, rendendo le loro attività furtive e difficili da rilevare.
  • Microsoft Intune: Microsoft Intune è uno strumento basato su cloud per gestire e proteggere dispositivi, app e utenti, aiutando le organizzazioni a proteggere i dati e garantire la conformità.
  • Remote wipe: La cancellazione remota consente agli amministratori di eliminare i dati dai dispositivi a distanza, proteggendo le informazioni sensibili se un dispositivo viene perso, rubato o compromesso.
  • Endpoint detection and response (EDR): Endpoint Detection and Response (EDR) sono strumenti di sicurezza che monitorano i computer per attività sospette, ma possono non rilevare attacchi basati sul browser che non lasciano file.
  • Network segmentation: La segmentazione di rete divide una rete in sezioni più piccole per controllare gli accessi, migliorare la sicurezza e contenere le minacce in caso di violazione.