¿Para qué complicarse con virus si basta con pulsar “Eliminar”? La táctica directa de los hackers iraníes en acción
Handala Hack usa Starlink e IA, pero sigue borrando archivos a la antigua mediante la Papelera
El grupo de hackers Handala Hack despliega ataques sin esquemas complejos ni vulnerabilidades raras. Los atacantes ingresan a la red, se desplazan con calma por la infraestructura y luego simplemente borran todo. Un nuevo análisis de la actividad del grupo muestra que ese enfoque directo a menudo resulta muy eficaz.
Detrás del nombre Handala Hack está el cibergrupo Void Manticore, conocido también como Red Sandstorm y Banished Kitten. Su actividad se vincula con el Ministerio de Inteligencia y Seguridad de Irán. El grupo opera con varios perfiles públicos. Además de Handala Hack, en las operaciones han intervenido Karma y Homeland Justice. A través de Homeland Justice llevaron a cabo ataques contra instituciones estatales, empresas de telecomunicaciones y otras organizaciones en Albania. Handala Hack se centró principalmente en Israel y, últimamente, ha comenzado a atacar también a empresas estadounidenses. Entre las víctimas recientes figura la corporación médica Stryker.
Tomaron el nombre Handala de un popular personaje de caricatura palestina. El grupo utiliza ampliamente esa imagen en su propaganda y en los materiales que publica tras los ataques.
La táctica de Void Manticore cambia muy poco. Los intrusos prefieren trabajar manualmente, controlando directamente las acciones dentro de la red de la víctima. Para el ataque utilizan utilidades listas para la destrucción de datos y herramientas públicas de borrado o cifrado de archivos. A veces emplean programas propios. El acceso inicial con frecuencia lo compran a intermediarios criminales o lo obtienen mediante cuentas robadas.
Con mayor frecuencia los atacantes se dirigen a contratistas y proveedores de servicios de TI. El objetivo es sencillo: obtener credenciales para redes privadas virtuales (VPN). En los últimos meses se registraron cientos de intentos de inicio de sesión y ataques de fuerza bruta contra pasarelas VPN corporativas. La mayoría de los intentos se realizó a través de servicios comerciales de VPN. Además, los atacantes a menudo usaban equipos con nombres predeterminados de Windows como DESKTOP-XXXXXX o WIN-XXXXXX.
Tras el apagón de internet en Irán en enero, los especialistas notaron actividad similar desde direcciones de la red satelital Starlink. Al mismo tiempo, los atacantes empezaron a ocultar menos el origen del tráfico. En algunos casos la conexión con los sistemas atacados procedía directamente de direcciones iraníes.
Una vez dentro de la red, los operadores de Handala Hack actúan con calma y de forma metódica. A veces obtienen acceso meses antes de la fase destructiva del ataque. Durante ese tiempo los atacantes se afianzan en la infraestructura y obtienen privilegios de administrador del dominio. Antes de iniciar la fase principal verifican las credenciales y recopilan información sobre la red.
Para robar contraseñas usan varios métodos. Por ejemplo, vuelcan el proceso LSASS, donde se almacenan datos de autenticación, y copian las secciones del registro del sistema. Paralelamente ejecutan la utilidad ADRecon, que recopila información sobre la estructura del dominio Active Directory.
En la red los atacantes se desplazan principalmente mediante el protocolo de escritorio remoto. Si ciertos sistemas no son accesibles desde el exterior, instalan el programa NetBird. El programa crea una red interna protegida entre equipos. Con él los operadores de Handala Hack conectan varias máquinas infectadas y controlan el ataque desde varios puntos dentro de la infraestructura.
El golpe principal comienza cuando los atacantes despliegan herramientas de destrucción de datos. Durante uno de los ataques utilizaron de inmediato cuatro métodos diferentes. Esa combinación aumenta la probabilidad de dejar el sistema fuera de servicio por completo.
La primera herramienta es un programa específico llamado Handala Wiper. El programa se propaga por la red mediante las políticas de grupo de Windows. El archivo malicioso sobrescribe el contenido de los archivos y daña el registro de arranque maestro del disco. Como resultado, los datos quedan ilegibles.
Además, ejecutan un script de PowerShell que elimina todos los archivos de los directorios de los usuarios. Por la estructura del código y los comentarios se aprecia que el script probablemente fue creado con ayuda de sistemas de inteligencia artificial. Tras completar la eliminación, el programa copia en los discos la imagen handala.gif, una especie de «firma» del ataque.
A veces los atacantes también utilizan programas legítimos. Por ejemplo, en un ataque los operadores instalaron el software de cifrado de discos VeraCrypt y cifraron las particiones del sistema. Ese recurso complica la recuperación de datos, incluso si parte del malware no llegó a ejecutarse.
En algunos casos los atacantes actúan todavía más simple. Se conectan al servidor mediante escritorio remoto, seleccionan archivos o máquinas virtuales y los eliminan manualmente. Acciones de este tipo pueden verse incluso en videos y otros materiales que el propio grupo publica tras los ataques.
El análisis de los ataques recientes muestra que Handala Hack no depende de tecnologías complejas. El grupo apuesta por credenciales robadas, acceso remoto y herramientas sencillas de destrucción de datos. Ese enfoque sigue siendo peligroso precisamente por su sencillez: si los atacantes consiguen entrar en la red y obtener privilegios administrativos, la restauración de la infraestructura después del ataque puede llevar mucho tiempo.