Hackers vinculados a Irán atacan el correo del director del FBI y borran datos de Stryker
Un grupo de hackers con vínculos con Irán, conocido como Handala Hack Team, logró acceder al correo electrónico personal de Kash Patel, director del FBI (la agencia federal de investigación de EE.UU.). Los atacantes filtraron fotos y documentos a internet. Además, el mismo grupo se atribuyó un ataque contra Stryker, una empresa de dispositivos médicos, borrando una gran cantidad de información.
El ataque al correo del director del FBI
Handala Hack Team anunció en su sitio web que Patel "ahora encontrará su nombre en la lista de víctimas hackeadas con éxito". El FBI confirmó que los correos de Patel fueron el objetivo y que se tomaron medidas para mitigar los riesgos. La información filtrada incluye correos de 2010 y 2019 que supuestamente fueron enviados por Patel. Según los investigadores, Handala Hack es una fachada pro-iraní y pro-palestina utilizada por el Ministerio de Inteligencia y Seguridad (MOIS) de Irán.
El ataque a Stryker con 'wiper'
El grupo también se adjudicó el ataque a Stryker, donde borraron datos importantes de la compañía y limpiaron (wipe) los dispositivos de miles de empleados. Un 'wiper' es un tipo de malware (software malicioso) diseñado para borrar datos de un sistema. Stryker confirmó el incidente y afirmó que lograron contenerlo y expulsar a los atacantes de su red interna de Microsoft. Palo Alto Networks Unit 42 cree que el ataque se produjo por el robo de credenciales mediante phishing (engaño para obtener contraseñas) y acceso administrativo a través de Microsoft Intune.
Cómo opera Handala Hack
Los investigadores de seguridad han descubierto que Handala Hack utiliza una infraestructura compleja para ocultar sus actividades, incluyendo dominios web, servicios ocultos en la red Tor y plataformas para compartir archivos como MEGA. Para obtener acceso inicial, suelen atacar proveedores de servicios de TI en busca de credenciales robadas, a menudo aprovechando cuentas de VPN (redes privadas virtuales) comprometidas. Una vez dentro de la red, utilizan RDP (protocolo de escritorio remoto) para moverse lateralmente e instalan los 'wipers' a través de scripts de inicio de sesión de Group Policy (directivas de grupo). También utilizan herramientas legítimas de cifrado de disco como VeraCrypt para dificultar la recuperación de los datos.
- A diferencia de los grupos de cibercriminales que buscan dinero, Handala Hack se centra en causar interrupción, impacto psicológico y enviar mensajes geopolíticos.
- Sus ataques suelen coincidir con momentos de tensión geopolítica y apuntan a organizaciones con valor simbólico o estratégico.
EE.UU. responde
El Departamento de Justicia de EE.UU. (DoJ) incautó cuatro dominios utilizados por el MOIS desde 2022 para interrumpir sus actividades maliciosas en el ciberespacio. Además, el gobierno de EE.UU. ofrece una recompensa de 10 millones de dólares por información sobre los miembros del grupo Handala Hack. Los dominios incautados se utilizaban para difundir información robada y amenazar a periodistas, disidentes y personas israelíes. El FBI también alertó sobre el uso de tácticas de ingeniería social (engaño) para distribuir malware a través de aplicaciones de mensajería, haciéndolo pasar por programas legítimos como Pictory, KeePass, Telegram o WhatsApp.
Qué significa esto para ti
Este incidente demuestra que los ataques cibernéticos están cada vez más politizados y dirigidos a infraestructuras críticas. Tanto usuarios como empresas deben reforzar sus medidas de seguridad, incluyendo el uso de autenticación multifactor (MFA), la aplicación del principio de mínimo privilegio (dar a los usuarios solo los permisos necesarios) y la vigilancia constante de la actividad en sus redes.
