De FBI heeft twee websites in beslag genomen die werden gebruikt door de hacktivistengroep Handala, nadat deze groep een destructieve cyberaanval uitvoerde op de medische technologiebedrijf Stryker. Bij de aanval werden ongeveer 80.000 apparaten gewist, waaronder computers en mobiele apparaten.

De in beslag genomen domeinen handala-redwanted.to en handala-hack.to tonen nu een bericht waarin staat dat ze onder een bevel van de District Court for the District of Maryland zijn overgenomen. Volgens dit bevel werden de sites gebruikt om kwaadaardige cyberactiviteiten te faciliteren of te ondersteunen namens een buitenlandse staat. De FBI heeft de controle overgenomen om verdere schadelijke operaties te verstoren en misbruik te voorkomen.

Handala, ook bekend als Handala Hack Team, Hatef of Hamsa, is een Iraans gelinkte, pro-Palestijnse hacktivistengroep die sinds december 2023 actief is. De groep voert aanvallen uit die worden toegeschreven aan Iran's Ministerie van Inlichtingen en Veiligheid (MOIS) en richt zich vooral op Israëlische organisaties met malware die Windows- en Linux-apparaten wist.

De actie van de FBI volgt op de grootschalige aanval op Stryker, waarbij Handala een Windows domeinbeheerderaccount compromitteerde en een nieuwe Global Administrator-account aanmaakte. Met deze rechten gaf de groep het Microsoft Intune commando om ongeveer 80.000 apparaten terug te zetten naar fabrieksinstellingen. Ook persoonlijke apparaten van medewerkers die via het bedrijf beheerd werden, werden gewist.

Handala erkende de inbeslagname van hun websites en gaf aan bezig te zijn met het opzetten van nieuwe, veerkrachtigere infrastructuur om hun activiteiten voort te zetten. Na de aanval gaven Microsoft en CISA richtlijnen vrij om Windows-domeinen en Intune beter te beveiligen tegen soortgelijke aanvallen.