Descoberta e Escopo
O grupo iraniano Handala Hack, também conhecido como Void Manticore, foi identificado conduzindo intrusões destrutivas contra organizações em Israel, Albânia e Estados Unidos. A Check Point Research vinculou o grupo ao Ministério de Inteligência e Segurança do Irã (MOIS). O ataque não visa espionagem, mas sim a destruição de dados.
Vetor e Exploração
Os atacantes utilizam credenciais de VPN comprometidas e RDP para navegar nas redes. Eles empregam múltiplas ferramentas de wiper simultaneamente, incluindo um script PowerShell assistido por IA e o uso do NetBird para tunelamento.
Impacto e Alcance
A empresa de tecnologia médica Stryker foi atingida. O grupo opera com cinco máquinas controladas simultaneamente em um único ambiente de vítima, visando causar danos rápidos e amplos.
Recomendações de Defesa
Defensores devem reforçar a autenticação multifator em todas as contas de acesso remoto e privilegiadas. É crucial monitorar logins de países incomuns e bloquear conexões de IPs iranianos e Starlink. O acesso RDP deve ser desabilitado onde não for necessário, especialmente em máquinas com nomes padrão do Windows.