Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

guerra usa – Iran

Cyber attacco contro Stryker: sanità bersaglio di operazioni geopolitiche

Home Attacchi hacker e Malware: le ultime news in tempo reale e gli approfondimenti
Partecipa al dibattito
Indirizzo copiato

Il gruppo hacker noto come Handala ha rivendicato un attacco informatico contro Stryker, multinazionale specializzata in dispositivi medici e tecnologie sanitarie utilizzate in ospedali di tutto il mondo. Ecco perché sembra un segnale di escalation nella dimensione digitale dello scontro

Pubblicato il 13 mar 2026
Tommaso Diddi

Analista Hermes Bay

Luisa Franchina

Presidente Associazione Italiana Infrastrutture Critiche (AIIC)

Sanità sicura e resiliente report ACN e piano UE; Cyber attacco contro Stryker: sanità bersaglio di operazioni geopolitiche

Il conflitto tra Usa e Iran ha aperto un nuovo fronte, quello digitale. Un gruppo hacker noto come Handala che, secondo analisi di threat intelligence pubblicate da Check Point Research, sarebbe riconducibile a una persona online associata al gruppo Void Manticore.

Questo attore, collegato al Ministero dell’Intelligence iraniano (MOIS), ha rivendicato un attacco informatico contro Stryker Corporation, multinazionale con sede nel Michigan specializzata nella produzione di dispositivi medici e tecnologie sanitarie utilizzate in ospedali di tutto il mondo.

L’episodio è stato interpretato da diversi analisti di sicurezza informatica come un possibile primo incidente cyber di rilievo che coinvolge direttamente
una grande azienda statunitense nella fase più recente di tensione tra Washington e Teheran, e potrebbe rappresentare un segnale di escalation nella dimensione digitale dello scontro geopolitico tra i due Paesi.

Telecamere di Teheran hackerate e IA: l’arma letale del Mossad per uccidere Khamenei

Cyber attacco contro Stryker: colpo alla sanità

Stryker ha confermato di aver subito un’interruzione globale di parte dei propri sistemi digitali.

Secondo le prime analisi di sicurezza informatica pubblicate da società di threat
intelligence e ricercatori indipendenti, gli aggressori potrebbero aver ottenuto accesso a componenti dell’ambiente Microsoft utilizzato dall’azienda per la gestione dei dispositivi aziendali.

Alcune analisi tecniche ipotizzano che l’accesso possa aver riguardato la piattaforma Microsoft Intune, uno strumento di gestione remota dei dispositivi ampiamente adottato nelle infrastrutture IT delle grandi organizzazioni.

In questo scenario, gli attaccanti avrebbero potuto sfruttare funzionalità amministrative, tra cui quelle di cancellazione remota dei dati, progettate per proteggere i dispositivi in caso di smarrimento o furto.

La dinamica tecnica precisa dell’incidente non è stata confermata pubblicamente dall’azienda.
Il gruppo che ha rivendicato l’operazione sostiene di aver cancellato i dati da oltre 200.000 dispositivi e di aver sottratto circa 50 terabyte di informazioni sensibili, ma queste cifre non risultano al momento verificate in modo indipendente.

Niente ransomware o malware

L’azienda, pur confermando l’incidente e il suo impatto su parte dell’infrastruttura digitale utilizzata per la gestione dei dispositivi, ha dichiarato di non aver rilevato ransomware o malware nell’ambiente Microsoft interno coinvolto nell’incidente e di ritenere che l’evento sia stato contenuto. Intanto proseguono le attività di analisi e ripristino.

La portata dell’operazione, se confermate le dimensioni rivendicate dagli attaccanti, la collocherebbe su un piano diverso rispetto alle azioni di disturbo digitale che hanno caratterizzato alcune delle fasi iniziali delle recenti tensioni regionali. Finora diversi gruppi filoiraniani sono stati associati soprattutto ad attività di defacement di siti web, operazioni di propaganda o campagne di disinformazione.

Potenziali punti di vulnerabilità sistemica

Le piattaforme di gestione centralizzata dei dispositivi, come i sistemi di Mobile Device Management (MDM) e Mobile Application Management (MAM), consentono
agli amministratori IT di controllare in modo centralizzato laptop, smartphone e tablet aziendali.

La compromissione di strumenti di questo tipo non richiede necessariamente l’accesso diretto ai singoli terminali: in molti casi è sufficiente ottenere credenziali
amministrative privilegiate per poter eseguire operazioni su larga scala tramite la console di gestione.

Questo tipo di scenario evidenzia come le piattaforme di amministrazione centralizzata possano diventare, se non adeguatamente protette da autenticazione
multifattore robusta e da controlli di accesso granulari, potenziali punti di vulnerabilità sistemica.

Colpire la sanità: cosa comporta il cyber attacco contro Stryker

L’impatto operativo di un incidente di questo tipo può andare ben oltre la perdita immediata di dati.

Per un’azienda che opera nel settore dei dispositivi medici – con clienti che
includono ospedali e strutture sanitarie in tutto il mondo – l’interruzione dei sistemi di comunicazione e gestione interna può avere ripercussioni sulla catena di fornitura e sulla continuità delle operazioni.

Il settore sanitario è da tempo considerato tra i più esposti agli attacchi informatici, sia per la presenza diffusa di sistemi legacy, sia per la forte dipendenza dalla continuità operativa dei servizi.

Nuova fase della cyber guerra: dinamica più ampia del caso Stryker

Il gruppo che ha rivendicato l’attacco ha presentato l’operazione come parte di una nuova fase della guerra informatica collegata alle tensioni geopolitiche tra Iran e Occidente.

Non è la prima volta che si associa Teheran all’uso di strumenti cyber per proiettare pressione oltre i propri confini.

Tra gli episodi più spesso citati dagli analisti figura l’attacco wiper del 2012 contro Saudi Aramco, nel quale il malware Shamoon rese inutilizzabili circa 35.000 computer aziendali, e l’operazione informatica del 2014 contro il gruppo Las Vegas
Sands, interpretata da diversi osservatori come una possibile ritorsione per le posizioni pubbliche dell’imprenditore Sheldon Adelson nei confronti dell’Iran.

In entrambi i casi gli attacchi causarono danni significativi ai sistemi informatici delle organizzazioni colpite. Nel caso di Las Vegas Sands, secondo quanto emerso successivamente, la sottrazione riguardò anche dati relativi ad alcuni clienti e dipendenti oltre alla distruzione di sistemi informatici.

L’episodio che ha coinvolto Stryker appare quindi inserito in una dinamica più ampia che gli analisti di geopolitica digitale osservano da diversi anni: l’utilizzo del dominio cyber come strumento di pressione strategica tra stati rivali.

Attacchi informatici mirati possono consentire di inviare segnali politici o dimostrare capacità operative senza necessariamente superare le soglie che potrebbero giustificare una risposta militare diretta.

L’instabilità geopolitica digitale

Per le organizzazioni che operano in un contesto caratterizzato da crescente instabilità geopolitica digitale, il caso offre alcuni spunti di riflessione.

La protezione delle piattaforme di gestione centralizzata dei dispositivi, inclusi gli strumenti di endpoint management e di accesso remoto, deve essere considerata una priorità strategica al pari della protezione dei sistemi core.

L’adozione di autenticazione multifattore robusta, la segmentazione dei privilegi amministrativi, il monitoraggio continuo delle attività sulle console di gestione e la
definizione di procedure di risposta agli incidenti specifiche per scenari di cancellazione massiva dei dati rappresentano misure che le organizzazioni di qualsiasi dimensione e settore devono integrare nei propri piani di sicurezza.

Il cyber attacco Stryker dimostra come, nell’era della competizione strategica nel dominio digitale, anche settori tradizionalmente percepiti come lontani dalle dinamiche di conflitto possano diventare bersaglio di operazioni informatiche motivate da fattori geopolitici.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

D
Tommaso Diddi
Analista Hermes Bay
Luisa Franchina
Presidente Associazione Italiana Infrastrutture Critiche (AIIC)

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

SPAZIO CISO

Vedi tutti gli approfondimenti >

Articoli correlati

  • nis 2

  • L'APPROFONDIMENTO

    Direttiva NIS 2 per la sicurezza delle infrastrutture critiche: quando e a chi si applica, le sanzioni

    27 Ago 2025

    di Cristina Spagnoli

    Condividi
  • Cyber Resilience Act guida conformità

  • la guida pratica

    Cyber Resilience Act: ecco come le imprese dovranno adeguarsi

    10 Mar 2026

    di Andrea Michinelli

    Condividi
  • Phishing PagoPA; Device Code Phishing: come proteggersi da un account takeover attraverso una forma di phishing nascosta; Neutralizzata Tycoon 2FA: come il kit phishing che aggirava l'MFA ha compromesso decine di migliaia di account

  • attacchi informatici

    Device Code Phishing: la minaccia che non ruba password, ma compromette gli account utente

    22 Dic 2025

    di Mirella Castigli

    Condividi
  • Firefox vulnerabilità Claude

  • l'analisi tecnica

    Claude trova 22 bug critici in Firefox: l’IA ridisegna il futuro del vulnerability research

    09 Mar 2026

    di Paolo Tarsitano

    Condividi
0
Lascia un commento, la tua opinione conta.x