Les deux domaines clearnet du groupe de pirates, handala-redwanted[.]to et handala-hack[.]to, affichent désormais un avis de saisie. L'avis indique que les sites web ont été saisis en vertu d'un mandat de saisie délivré par le tribunal de district du Maryland. « Ce domaine a été saisi par le **Federal Bureau of Investigation** (« FBI ») conformément à un mandat de saisie délivré par un tribunal de district des États-Unis pour le district du Maryland, dans le cadre d'une action des forces de l'ordre menée par le FBI. Les autorités chargées de l'application de la loi ont déterminé que ce domaine était utilisé pour mener, faciliter ou soutenir des activités cybernétiques malveillantes pour le compte d'un acteur étatique étranger, ou en coordination avec lui », indique le message de saisie. « Ces activités peuvent inclure des intrusions réseau non autorisées, le ciblage d'infrastructures ou d'autres violations de la loi des États-Unis. » « Conformément au mandat autorisé par le tribunal, le gouvernement des États-Unis a pris le contrôle de ce domaine afin de perturber les opérations cybernétiques malveillantes en cours et d'empêcher toute exploitation ultérieure. »  ### Contexte de Handala et liens présumés avec l'Iran **Handala** (également connu sous le nom de Handala Hack Team, Hatef, Hamsa) est un groupe de pirates pro-palestinien apparu en décembre 2023. Des rapports suggèrent des liens avec le ministère iranien du renseignement et de la sécurité (MOIS). Le groupe aurait ciblé des organisations israéliennes avec des malwares destructeurs conçus pour effacer les appareils Windows et Linux. ### Détails de la saisie des domaines Bien qu'il n'y ait pas eu d'annonce officielle des forces de l'ordre concernant les saisies, les serveurs de noms de domaine ont été basculés vers ceux couramment utilisés par le FBI lors de la saisie de domaines : Serveur de noms : ns1.fbi.seized.gov Serveur de noms : ns2.fbi.seized.gov L'étendue de l'accès du FBI au contenu des sites web et aux journaux des serveurs reste inconnue. ### L'attaque contre Stryker : un coup dévastateur Cette action fait suite à la récente cyberattaque de **Handala** contre **Stryker**, où ils ont compromis un compte administrateur de domaine Windows et créé un nouveau compte d'administrateur global. Les attaquants ont ensuite utilisé **Microsoft Intune** pour émettre la commande « wipe », réinitialisant d'usine environ 80 000 appareils, y compris des ordinateurs et des appareils mobiles. Même les appareils personnels des employés gérés par l'entreprise ont été affectés. ### Réponse des pirates et plans futurs **Handala** a reconnu les saisies de sites web et la nécessité d'une « infrastructure plus résiliente ». Ils ont déclaré qu'ils étaient en train de créer de nouveaux sites web pour annoncer leurs attaques. « À la lumière des événements récents et de la nécessité d'établir une infrastructure sécurisée et résiliente, nous vous informons que la construction d'une nouvelle base numérique est un processus complexe et chronophage », peut-on lire dans un message Telegram du groupe. « Cependant, nous restons déterminés à poursuivre notre mission sans interruption. » ### Réponse de l'industrie et recommandations de sécurité Suite à l'attaque, **Microsoft** et la **CISA** ont publié des directives sur le renforcement des domaines Windows et la sécurisation d'Intune pour prévenir des attaques similaires dans d'autres entreprises. Cela souligne l'importance de mesures de sécurité robustes et d'une détection proactive des menaces dans le paysage actuel des menaces.