L’operazione militare congiunta di Stati Uniti e Israele contro l'Iran ha riacceso i riflettori sui malware wiper, tornati al centro delle cronache ai tempi dell’inizio della guerra in Ucraina. Il team di ricerca della Unit 42 di Palo Alto Networks ha pubblicato un'analisi dettagliata della situazione legata al conflitto iraniano, che traccia le tattiche del gruppo più attivo sul fronte delle operazioni distruttive e fornisce indicazioni operative per chi deve difendersi.

I wiper sono malware progettati per cancellare i dati e rendere i sistemi inutilizzabili, senza alcun interesse per l'estorsione o il furto di informazioni. Il fine è la distruzione pura, spesso nell'ambito di operazioni di guerra ibrida in cui il danno operativo al nemico vale più di qualsiasi dato esfiltrato. Il pubblico li ha conosciuti nel 2022, quando la Russia li ha impiegati massicciamente nei giorni precedenti e successivi all'invasione dell'Ucraina: WhisperGate e CaddyWiper sono stati tra i più documentati, ma il catalogo di varianti impiegate in quel conflitto è lungo. Anche l'Iran padroneggia questo tipo di armamento cyber da anni, grazie a gruppi APT interni che lo hanno sviluppato e affinato.

Handala Hack: il gruppo più pericoloso del momento

La Unit 42 sta monitorando un aumento del rischio di attacchi wiper legati al conflitto iraniano, con diversi incidenti che hanno colpito organizzazioni in Israele e negli Stati Uniti. Il gruppo al centro dell'analisi è Handala Hack, noto anche come Void Manticore. Questo threat actor è emerso per la prima volta alla fine del 2023 e, nonostante la messaggistica iniziale allineata all'hacktivismo, la comunità di threat intelligence lo valuta attualmente come un fronte diretto dal Ministero dell'Intelligence e della Sicurezza iraniano (MOIS). Gli analisti ritengono ordinaria, nel caso iraniano, una sovrapposizione tra l’anima hacktivista e la regia dello Stato iraniano, attuata come tattica per mantenere una certa plausibile negabilità sul piano diplomatico, pur conducendo operazioni con obiettivi e capacità da APT.

Come appurato in un altro report della Unit42, il gruppo combina esfiltrazione di dati e operazioni cyber contro l'establishment politico e della difesa israeliano. In particolare, nelle settimane successive all'avvio del conflitto, Handala ha rivendicato la compromissione di una società israeliana di esplorazione energetica, l'accesso ai sistemi di carburante della Giordania e il targeting della principale rete sanitaria civile israeliana, con l'obiettivo dichiarato di mettere sotto pressione il nemico sul fronte interno. Proprio l'ultimo episodio si distingue per il bersaglio scelto: colpire l'assistenza sanitaria civile in tempo di guerra è una scelta deliberata volta a massimizzare l'impatto psicologico sulla popolazione.

L’analisi tecnica

Il principale vettore per le recenti operazioni distruttive del gruppo Handala Hack riguarda lo sfruttamento dell'identità tramite phishing e l'accesso amministrativo attraverso Microsoft Intune. È un dettaglio tecnico di rilievo perché Intune è la piattaforma di Microsoft per la gestione dei dispositivi aziendali (MDM/MAM), e chi ne controlla l'accesso amministrativo può emettere comandi di wipe su larga scala su tutti i dispositivi registrati sulla piattaforma. Compromettere un account Intune con privilegi di amministratore significa, in sostanza, possedere l’interruttore in grado di cancellare in modo simultaneo server e workstation di un'intera organizzazione. Il 6 marzo, il National Cyber Directorate israeliano ha avvertito delle operazioni iraniane contro organizzazioni israeliane con wiper, e ha segnalato proprio casi in cui gli attaccanti avevano ottenuto accesso alle reti aziendali ed eliminato server e workstation; in alcuni casi l'attaccante disponeva di credenziali di utenti aziendali legittimi, utilizzate per ottenere l'accesso iniziale alla rete.

Il quadro delineato da Unit 42 rivela, oltre ad Handala, un ecosistema di gruppi allineati all'Iran in rapida attivazione. Nelle ore successive al 28 febbraio è stata costituita una Electronic Operations Room che coordina collettivi come Cyber Islamic Resistance (che aggrega a sua volta gruppi come RipperSec e Cyb3rDrag0nzz), il FAD Team (specializzato in wiper e distruzione permanente dei dati, con rivendicazioni di accesso a sistemi SCADA/PLC in Israele), Dark Storm Team (DDoS e ransomware su larga scala) e diversi altri. Le stime riferiscono di circa 60 gruppi attivi, inclusi collettivi pro-russi, a partire dal 2 marzo 2026. La sovrapposizione con threat actor russi non è una sorpresa: i due ecosistemi si frequentano da anni e il conflitto in Medio Oriente offre un'occasione per operare in parallelo contro obiettivi comuni.

Come difendersi

L'analisi degli analisti della Unit 42 è corredata da raccomandazioni operative importanti. Il punto centrale è l'eliminazione dei privilegi persistenti: gli account amministrativi con permessi sempre attivi sono il fattore di rischio più elevato negli attacchi moderni basati sull'identità, per questo gli esperti raccomandano di adottare un modello just-in-time (JIT) per tutti i ruoli amministrativi, con credenziali a zero permessi per default e attivazione solo attraverso un processo formale. Per gli ambienti Microsoft, l'indicazione specifica è di usare Entra ID Privileged Identity Management per gestire le assegnazioni di ruolo, richiedendo MFA, giustificazione e, per i ruoli ad alto rischio, approvazione manuale prima dell'attivazione.

Sul piano degli account Entra ID, Unit 42 raccomanda di ridurre al minimo il numero di Global Administrator e Intune Administrator, di usare account cloud-only per i ruoli amministrativi (per prevenire movimenti laterali da Active Directory on-premise in caso di compromissione di account sincronizzati) e di abilitare l'approvazione multi-amministratore per le azioni ad alto impatto, come i comandi di wipe o cancellazione. Un'indicazione particolarmente rilevante riguarda i Secure Administrative Workstation (SAW) e i Privileged Access Workstation (PAW): le macchine usate per amministrare piattaforme critiche come Intune non devono essere le stesse usate per la navigazione quotidiana, perché un endpoint compromesso diventa la porta d'ingresso per il furto di token di sessione.

Sul fronte del monitoraggio, la raccomandazione è di acquisire i log di audit da Intune (in particolare le azioni RemoteWipe e FactoryReset) nel SIEM/XDR aziendale, configurare alert specifici per eventi di wipe massivo (con soglie di allerta automatica se più di cinque o dieci dispositivi vengono presi di mira in una finestra temporale ristretta) e mantenere backup immutabili, air-gapped dei dati critici. Quest'ultimo punto è probabilmente il più importante in uno scenario di wiper, considerato il suo obiettivo distruttivo.