Handala Hack colpisce l’FBI e Stryker: wiper iraniano scatena caos su email e migliaia di endpoint

Un nuovo episodio di cyber attacchi legati all’Iran mette in evidenza come le operazioni di hacktivismo e guerra informatica possano colpire sia figure istituzionali sia grandi aziende. Un gruppo noto come Handala Hack Team ha dichiarato di aver violato la casella email personale del direttore dell’FBI Kash Patel, diffondendo online foto e documenti.

Le autorità hanno confermato che l’account è stato preso di mira e che sono state avviate misure di mitigazione. Secondo le informazioni disponibili, i dati pubblicati sarebbero storici e non includerebbero contenuti governativi, con messaggi che risalirebbero al periodo 2010–2019.

Handala Hack viene descritto come un attore hacktivista pro Iran e pro Palestina, associato al Ministero dell’Intelligence e della Sicurezza. Nel tempo la comunità di cybersecurity ha collegato questa attività a più nomi e infrastrutture, includendo domini sul web pubblico, servizi su rete Tor e piattaforme di file hosting. Questa presenza distribuita facilita la pubblicazione di fughe di dati e la continuità operativa anche dopo azioni di contrasto.

Dal punto di vista tecnico, le campagne attribuite al gruppo mostrano un orientamento distruttivo. Sono stati osservati movimenti laterali tramite RDP e l’uso di wiper malware per cancellare dati e rendere inutilizzabili i dispositivi. In alcuni casi vengono impiegati anche strumenti legittimi di cifratura disco come VeraCrypt per rendere più complesso il recupero e aumentare l’impatto operativo. A differenza dei gruppi criminali motivati dal profitto, queste azioni puntano a disruption, pressione psicologica e messaggi geopolitici.

In questo contesto si inserisce anche l’attacco a Stryker, fornitore di dispositivi e servizi medicali, rivendicato come operazione wiper con cancellazione di grandi volumi di dati e compromissione di migliaia di endpoint. L’azienda ha comunicato di aver contenuto l’incidente e rimosso i meccanismi di persistenza, indicando che la compromissione era limitata all’ambiente Microsoft interno. Indagini di settore suggeriscono che l’accesso possa essere stato ottenuto tramite phishing e abuso di privilegi amministrativi in piattaforme di gestione come Microsoft Intune, con possibile uso di credenziali rubate da infostealer.

Raccomandazioni di difesa

• Least privilege per ridurre l’impatto di account compromessi.
• MFA resistente al phishing per mitigare furti di credenziali e attacchi di social engineering.
• Hardening dei domini Windows per limitare movimenti laterali e abuso di privilegi.
• Approvazioni multi-admin per modifiche sensibili in Microsoft Intune.

Sul fronte del contrasto sono stati sequestrati domini collegati alle operazioni di influenza e divulgazione dati, mentre restano alte le allerte per supply chain e infrastrutture critiche, soprattutto nel settore sanitario.