Ambos os domínios clearnet do grupo hacktivista, handala-redwanted[.]to e handala-hack[.]to, agora exibem um aviso de apreensão. O aviso afirma que os sites foram apreendidos sob um mandado de apreensão emitido pelo Tribunal Distrital para o Distrito de Maryland. "Este domínio foi apreendido pelo **Federal Bureau of Investigation** ("FBI") em conformidade com um mandado de apreensão emitido por um Tribunal Distrital dos Estados Unidos para o Distrito de Maryland como parte de uma ação de aplicação da lei pelo FBI. As autoridades policiais determinaram que este domínio foi usado para conduzir, facilitar ou apoiar atividades cibernéticas maliciosas em nome de, ou em coordenação com, um ator estatal estrangeiro", diz a mensagem de apreensão. "Essas atividades podem incluir intrusões não autorizadas em redes, direcionamento de infraestrutura ou outras violações da lei dos Estados Unidos." "Em conformidade com o mandado autorizado pelo tribunal, o Governo dos Estados Unidos tomou controle deste domínio para interromper operações cibernéticas maliciosas em andamento e prevenir explorações futuras."  ### Histórico do Handala e Supostos Vínculos com o Irã O **Handala** (também conhecido como Handala Hack Team, Hatef, Hamsa) é um grupo hacktivista pró-Palestina que surgiu em dezembro de 2023. Relatórios sugerem ligações com o Ministério de Inteligência e Segurança do Irã (MOIS). O grupo teria visado organizações israelenses com malware destrutivo projetado para apagar dispositivos Windows e Linux. ### Detalhes da Apreensão de Domínio Embora não tenha havido um anúncio oficial pelas autoridades policiais sobre as apreensões, os servidores de nomes de domínio foram alterados para aqueles comumente usados pelo FBI ao apreender domínios: Name Server: ns1.fbi.seized.gov Name Server: ns2.fbi.seized.gov A extensão do acesso do FBI ao conteúdo do site e aos logs do servidor permanece desconhecida. ### O Ataque à Stryker: Um Golpe Devastador Esta ação segue o recente ataque cibernético do **Handala** à **Stryker**, onde comprometeram uma conta de administrador de domínio Windows e criaram uma nova conta de Administrador Global. Os atacantes então usaram o **Microsoft Intune** para emitir o comando "wipe" (apagar), redefinindo de fábrica aproximadamente 80.000 dispositivos, incluindo computadores e dispositivos móveis. Até mesmo os dispositivos pessoais dos funcionários gerenciados pela empresa foram afetados. ### Resposta do Hacktivista e Planos Futuros O **Handala** reconheceu as apreensões de sites e a necessidade de uma "infraestrutura mais resiliente". Eles declararam que estão no processo de criação de novos sites para anunciar seus ataques. "À luz dos eventos recentes e da necessidade de estabelecer uma infraestrutura segura e resiliente, informamos que a construção de uma nova base digital é um processo complexo e demorado", diz uma postagem do grupo no Telegram. "No entanto, permanecemos comprometidos em continuar nossa missão sem interrupção." ### Resposta da Indústria e Recomendações de Segurança Após o ataque, a **Microsoft** e a **CISA** divulgaram orientações sobre o fortalecimento de domínios Windows e a segurança do Intune para prevenir ataques semelhantes em outras empresas. Isso destaca a importância de medidas de segurança robustas e detecção proativa de ameaças no cenário de ameaças atual.