Ambos dominios de la red pública del hacktivista, handala-redwanted[.]to y handala-hack[.]to, ahora muestran un aviso de confiscación. El aviso indica que los sitios web fueron confiscados bajo una orden de incautación emitida por el Tribunal de Distrito para el Distrito de Maryland. "Este dominio ha sido confiscado por el **Federal Bureau of Investigation** ("FBI") en virtud de una orden de incautación emitida por un Tribunal de Distrito de los Estados Unidos para el Distrito de Maryland como parte de una acción de aplicación de la ley por parte del FBI. Las autoridades policiales determinaron que este dominio se utilizó para llevar a cabo, facilitar o apoyar actividades cibernéticas maliciosas en nombre de, o en coordinación con, un actor estatal extranjero", se lee en el mensaje de confiscación. "Estas actividades pueden incluir intrusiones no autorizadas en redes, ataques a la infraestructura u otras violaciones de la ley de los Estados Unidos." "De conformidad con la orden autorizada por el tribunal, el Gobierno de los Estados Unidos ha tomado el control de este dominio para interrumpir las operaciones cibernéticas maliciosas en curso y prevenir una mayor explotación."  ### Antecedentes de Handala y Supuestos Vínculos con Irán **Handala** (también conocido como Handala Hack Team, Hatef, Hamsa) es un grupo hacktivista pro-palestino que surgió en diciembre de 2023. Los informes sugieren vínculos con el Ministerio de Inteligencia y Seguridad de Irán (MOIS). Según se informa, el grupo ha atacado a organizaciones israelíes con malware destructivo diseñado para borrar dispositivos Windows y Linux. ### Detalles de la Confiscación de Dominios Si bien no ha habido un anuncio oficial por parte de las fuerzas del orden sobre las confiscaciones, los servidores de nombres de dominio se han cambiado a los comúnmente utilizados por el FBI al confiscar dominios: Name Server: ns1.fbi.seized.gov Name Server: ns2.fbi.seized.gov El alcance del acceso del FBI al contenido del sitio web y a los registros del servidor sigue siendo desconocido. ### El Ataque a Stryker: Un Golpe Devastador Esta acción sigue al reciente ciberataque de **Handala** contra **Stryker**, donde comprometieron una cuenta de administrador de dominio de Windows y crearon una nueva cuenta de Administrador Global. Los atacantes luego utilizaron **Microsoft Intune** para emitir el comando de "borrado", restableciendo de fábrica aproximadamente 80.000 dispositivos, incluidas computadoras y dispositivos móviles. Incluso los dispositivos personales de los empleados administrados por la empresa se vieron afectados. ### Respuesta Hacktivista y Planes Futuros **Handala** ha reconocido las confiscaciones de sitios web y la necesidad de una "infraestructura más resiliente". Declararon que están en proceso de crear nuevos sitios web para anunciar sus ataques. "A la luz de los acontecimientos recientes y la necesidad de establecer una infraestructura segura y resiliente, les informamos que la construcción de una nueva base digital es un proceso complejo y que consume tiempo", se lee en una publicación de Telegram del grupo. "Sin embargo, seguimos comprometidos a continuar nuestra misión sin interrupción." ### Respuesta de la Industria y Recomendaciones de Seguridad Tras el ataque, **Microsoft** y **CISA** publicaron directrices sobre el fortalecimiento de dominios de Windows y la protección de Intune para prevenir ataques similares en otras empresas. Esto resalta la importancia de medidas de seguridad sólidas y la detección proactiva de amenazas en el panorama de amenazas actual.