Beide Clearnet-Domains der Hacktivisten, handala-redwanted[.]to und handala-hack[.]to, zeigen nun eine Beschlagnahmungsmitteilung. Die Mitteilung besagt, dass die Websites aufgrund eines Beschlagnahmungsbefehls des Bezirksgerichts für den Bezirk Maryland beschlagnahmt wurden. "Diese Domain wurde vom **Federal Bureau of Investigation** ('FBI') gemäß einem Beschlagnahmungsbefehl eines Bezirksgerichts der Vereinigten Staaten für den Bezirk Maryland im Rahmen einer Strafverfolgungsmaßnahme des FBI beschlagnahmt. Strafverfolgungsbehörden stellten fest, dass diese Domain zur Durchführung, Erleichterung oder Unterstützung böswilliger Cyberaktivitäten im Namen oder in Abstimmung mit einem ausländischen staatlichen Akteur verwendet wurde", heißt es in der Beschlagnahmungsnachricht. "Diese Aktivitäten können unbefugte Netzwerkeindringungen, Infrastrukturziele oder andere Verstöße gegen US-Gesetze umfassen." "Gemäß dem gerichtlich genehmigten Durchsuchungsbefehl hat die US-Regierung die Kontrolle über diese Domain übernommen, um laufende böswillige Cyberoperationen zu unterbinden und weitere Ausnutzung zu verhindern."  ### Hintergrund von Handala und mutmaßliche iranische Verbindungen **Handala** (auch bekannt als Handala Hack Team, Hatef, Hamsa) ist eine pro-palästinensische Hacktivistengruppe, die im Dezember 2023 aufgetaucht ist. Berichten zufolge gibt es Verbindungen zum iranischen Ministerium für Nachrichtendienste und Sicherheit (MOIS). Die Gruppe hat Berichten zufolge israelische Organisationen mit zerstörerischer Malware angegriffen, die darauf ausgelegt ist, Windows- und Linux-Geräte zu löschen. ### Details zur Domain-Beschlagnahmung Obwohl es keine offizielle Ankündigung der Strafverfolgungsbehörden bezüglich der Beschlagnahmungen gab, wurden die Nameserver auf diejenigen umgestellt, die üblicherweise vom FBI bei der Beschlagnahmung von Domains verwendet werden: Name Server: ns1.fbi.seized.gov Name Server: ns2.fbi.seized.gov Das Ausmaß des Zugriffs des FBI auf Website-Inhalte und Server-Protokolle bleibt unbekannt. ### Der Stryker-Angriff: Ein verheerender Schlag Diese Maßnahme folgt auf den jüngsten Cyberangriff von **Handala** auf **Stryker**, bei dem sie ein Windows-Domain-Administrator-Konto kompromittierten und ein neues Global Administrator-Konto erstellten. Die Angreifer nutzten dann **Microsoft Intune**, um den "Wipe"-Befehl auszugeben und rund 80.000 Geräte, darunter Computer und mobile Geräte, auf Werkseinstellungen zurückzusetzen. Sogar die vom Unternehmen verwalteten persönlichen Geräte der Mitarbeiter waren betroffen. ### Reaktion der Hacktivisten und Zukunftspläne **Handala** hat die Beschlagnahmung der Websites und die Notwendigkeit einer "resilienteren Infrastruktur" anerkannt. Sie erklärten, dass sie dabei seien, neue Websites zu erstellen, um ihre Angriffe anzukündigen. "Angesichts der jüngsten Ereignisse und der Notwendigkeit, eine sichere und resiliente Infrastruktur aufzubauen, informieren wir Sie, dass der Aufbau einer neuen digitalen Basis ein komplexer und zeitaufwändiger Prozess ist", heißt es in einem Telegramm-Post der Gruppe. "Wir bleiben jedoch entschlossen, unsere Mission ohne Unterbrechung fortzusetzen." ### Reaktion der Branche und Sicherheitsempfehlungen Nach dem Angriff veröffentlichten **Microsoft** und **CISA** Leitlinien zur Härtung von Windows-Domains und zur Sicherung von Intune, um ähnliche Angriffe bei anderen Unternehmen zu verhindern. Dies unterstreicht die Bedeutung robuster Sicherheitsmaßnahmen und proaktiver Bedrohungserkennung in der heutigen Bedrohungslandschaft.