🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Atores de ameaças com ligações com o Irã invadiram com sucesso a conta de e-mail pessoal de Kash Patel, diretor do Federal Bureau of Investigation (FBI) dos EUA, e vazaram um conjunto de fotos e outros documentos para a Internet.
A Handala Hack Team, que executou a violação, disse em seu site que Patel “agora encontrará seu nome na lista de vítimas hackeadas com sucesso”. Num comunicado partilhado com a Reuters, o FBI confirmou que os e-mails de Patel foram direcionados e observou que foram tomadas as medidas necessárias para “mitigar os riscos potenciais associados a esta atividade”.
A agência também disse que os dados publicados são de “natureza histórica e não envolvem informações governamentais”. O vazamento inclui e-mails de 2010 e 2019 supostamente enviados por Patel.
Handala Hack é avaliado como uma personalidade hacktivista pró-iraniana e pró-palestina adotada pelo Ministério de Inteligência e Segurança do Irã (MOIS). É rastreado pela comunidade de segurança cibernética sob os nomes Banished Kitten, Cobalt Mystique, Red Sandstorm e Void Manticore, com o grupo também operando outra persona chamada Homeland Justice para atingir entidades albanesas desde meados de 2022.
Uma terceira pessoa ligada ao adversário afiliado ao MOIS é o Karma, que provavelmente foi completamente substituído pelo Handala Hack desde o final de 2023.
Os dados recolhidos pelo StealthMole revelaram que a presença online da Handala se estende além das plataformas de mensagens e fóruns de crimes cibernéticos como o BreachForums para divulgar as suas atividades, mantendo uma infraestrutura em camadas que inclui domínios da web de superfície, serviços hospedados no Tor e plataformas externas de hospedagem de arquivos como o MEGA.
“Handala tem visado consistentemente provedores de TI e serviços em um esforço para obter credenciais, confiando em grande parte em contas VPN comprometidas para acesso inicial”, disse a Check Point em um relatório publicado este mês. “Ao longo dos últimos meses, identificamos centenas de tentativas de login e de força bruta contra infraestruturas VPN organizacionais ligadas à infraestrutura associada ao Handala.”
Sabe-se que os ataques montados pelo grupo de proxy aproveitam o RDP para movimentação lateral e iniciam operações destrutivas, descartando famílias de malware de limpeza, como Handala Wiper e Handala PowerShell Wiper, por meio de scripts de logon de Política de Grupo. Também são usados utilitários legítimos de criptografia de disco, como o VeraCrypt, para complicar os esforços de recuperação.
“Ao contrário dos grupos cibercriminosos com motivação financeira, as atividades associadas ao Handala têm historicamente enfatizado a disrupção, o impacto psicológico e a sinalização geopolítica”, disse Flashpoint. “As operações atribuídas à persona frequentemente se alinham com períodos de elevada tensão geopolítica e muitas vezes têm como alvo organizações com valor simbólico ou estratégico.”
O desenvolvimento surge no contexto do conflito EUA-Israel-Irão, levando o Irão a lançar uma ofensiva cibernética de retaliação contra alvos ocidentais. Notavelmente, Handala Hack reivindicou o crédito por paralisar as redes do provedor de serviços e dispositivos médicos Stryker, excluindo um enorme tesouro de dados da empresa e apagando milhares de dispositivos de funcionários. O ataque é a primeira operação destrutiva confirmada contra uma empresa norte-americana Fortune 500.
Em uma atualização publicada em seu site esta semana, a Stryker disse que “o incidente foi contido”, acrescentando que “reagiu rapidamente não apenas para recuperar o acesso, mas também para remover a parte não autorizada do nosso ambiente”, desmontando os mecanismos de persistência instalados. A violação, afirmou, estava confinada ao ambiente interno da Microsoft.
Descobriu-se que os atores da ameaça usam um arquivo malicioso para executar comandos que lhes permitem ocultar suas ações. No entanto, o arquivo não possui capacidade de se espalhar pela rede, destacou Stryker.
A Unidade 42 da Palo Alto Networks disse que o principal vetor para as recentes operações destrutivas do Handala Hack provavelmente envolve a “exploração de identidade por meio de phishing e acesso administrativo por meio do Microsoft Intune”. Hudson Rock encontrou evidências de que credenciais comprometidas associadas à infraestrutura da Microsoft obtidas por meio de malware infostealer podem ter sido usadas para realizar o hack.
Após a violação, tanto a Microsoft quanto a Agência de Segurança Cibernética e de Infraestrutura (CISA) divulgaram orientações sobre como fortalecer os domínios do Windows e fortalecer o Intune para se defender contra ataques semelhantes. Isso inclui usar o princípio de privilégio mínimo, impor a autenticação multifator (MFA) resistente a phishing e permitir a aprovação de vários administradores no Intune para alterações confidenciais.
A Flashpoint caracterizou o ataque à Stryker como uma mudança perigosa nas ameaças à cadeia de abastecimento, uma vez que a actividade cibernética ligada ao Estado visando fornecedores críticos e prestadores de serviços de logística pode ter impactos em cascata em todo o ecossistema de saúde.
O vazamento de e-mails pessoais de Patel por Handala Hack vem em resposta
A Handala Hack Team, que executou a violação, disse em seu site que Patel “agora encontrará seu nome na lista de vítimas hackeadas com sucesso”. Num comunicado partilhado com a Reuters, o FBI confirmou que os e-mails de Patel foram direcionados e observou que foram tomadas as medidas necessárias para “mitigar os riscos potenciais associados a esta atividade”.
A agência também disse que os dados publicados são de “natureza histórica e não envolvem informações governamentais”. O vazamento inclui e-mails de 2010 e 2019 supostamente enviados por Patel.
Handala Hack é avaliado como uma personalidade hacktivista pró-iraniana e pró-palestina adotada pelo Ministério de Inteligência e Segurança do Irã (MOIS). É rastreado pela comunidade de segurança cibernética sob os nomes Banished Kitten, Cobalt Mystique, Red Sandstorm e Void Manticore, com o grupo também operando outra persona chamada Homeland Justice para atingir entidades albanesas desde meados de 2022.
Uma terceira pessoa ligada ao adversário afiliado ao MOIS é o Karma, que provavelmente foi completamente substituído pelo Handala Hack desde o final de 2023.
Os dados recolhidos pelo StealthMole revelaram que a presença online da Handala se estende além das plataformas de mensagens e fóruns de crimes cibernéticos como o BreachForums para divulgar as suas atividades, mantendo uma infraestrutura em camadas que inclui domínios da web de superfície, serviços hospedados no Tor e plataformas externas de hospedagem de arquivos como o MEGA.
“Handala tem visado consistentemente provedores de TI e serviços em um esforço para obter credenciais, confiando em grande parte em contas VPN comprometidas para acesso inicial”, disse a Check Point em um relatório publicado este mês. “Ao longo dos últimos meses, identificamos centenas de tentativas de login e de força bruta contra infraestruturas VPN organizacionais ligadas à infraestrutura associada ao Handala.”
Sabe-se que os ataques montados pelo grupo de proxy aproveitam o RDP para movimentação lateral e iniciam operações destrutivas, descartando famílias de malware de limpeza, como Handala Wiper e Handala PowerShell Wiper, por meio de scripts de logon de Política de Grupo. Também são usados utilitários legítimos de criptografia de disco, como o VeraCrypt, para complicar os esforços de recuperação.
“Ao contrário dos grupos cibercriminosos com motivação financeira, as atividades associadas ao Handala têm historicamente enfatizado a disrupção, o impacto psicológico e a sinalização geopolítica”, disse Flashpoint. “As operações atribuídas à persona frequentemente se alinham com períodos de elevada tensão geopolítica e muitas vezes têm como alvo organizações com valor simbólico ou estratégico.”
O desenvolvimento surge no contexto do conflito EUA-Israel-Irão, levando o Irão a lançar uma ofensiva cibernética de retaliação contra alvos ocidentais. Notavelmente, Handala Hack reivindicou o crédito por paralisar as redes do provedor de serviços e dispositivos médicos Stryker, excluindo um enorme tesouro de dados da empresa e apagando milhares de dispositivos de funcionários. O ataque é a primeira operação destrutiva confirmada contra uma empresa norte-americana Fortune 500.
Em uma atualização publicada em seu site esta semana, a Stryker disse que “o incidente foi contido”, acrescentando que “reagiu rapidamente não apenas para recuperar o acesso, mas também para remover a parte não autorizada do nosso ambiente”, desmontando os mecanismos de persistência instalados. A violação, afirmou, estava confinada ao ambiente interno da Microsoft.
Descobriu-se que os atores da ameaça usam um arquivo malicioso para executar comandos que lhes permitem ocultar suas ações. No entanto, o arquivo não possui capacidade de se espalhar pela rede, destacou Stryker.
A Unidade 42 da Palo Alto Networks disse que o principal vetor para as recentes operações destrutivas do Handala Hack provavelmente envolve a “exploração de identidade por meio de phishing e acesso administrativo por meio do Microsoft Intune”. Hudson Rock encontrou evidências de que credenciais comprometidas associadas à infraestrutura da Microsoft obtidas por meio de malware infostealer podem ter sido usadas para realizar o hack.
Após a violação, tanto a Microsoft quanto a Agência de Segurança Cibernética e de Infraestrutura (CISA) divulgaram orientações sobre como fortalecer os domínios do Windows e fortalecer o Intune para se defender contra ataques semelhantes. Isso inclui usar o princípio de privilégio mínimo, impor a autenticação multifator (MFA) resistente a phishing e permitir a aprovação de vários administradores no Intune para alterações confidenciais.
A Flashpoint caracterizou o ataque à Stryker como uma mudança perigosa nas ameaças à cadeia de abastecimento, uma vez que a actividade cibernética ligada ao Estado visando fornecedores críticos e prestadores de serviços de logística pode ter impactos em cascata em todo o ecossistema de saúde.
O vazamento de e-mails pessoais de Patel por Handala Hack vem em resposta
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #hackers #ligados #ao #irã #violam #email #pessoal #do #diretor #do #fbi #e #atacam #stryker #com #wiper #attack
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário