Hackers Handala, Ligados ao Irã, Reivindicam Ataques Contra Stryker e Verifone
Aprofundamento CEVIU
Aprofundamento
O Handala não é um grupo de hacktivistas amador: é uma unidade operacional do Ministério de Inteligência e Segurança do Irã, alinhada ao cluster Void Manticore, já mapeado por CISA e Mandiant como responsável por ataques destrutivos contra infraestrutura crítica desde 2023. O ataque à Stryker foi um wiper coordenado via Microsoft Intune, não um ransomware comum. Isso significa que os invasores não pediram resgate, mas apagaram dispositivos em escala industrial, 200 mil sistemas, segundo a reivindicação, incluindo BYODs com eSIMs e apps de autenticação zerados. A paralisação atingiu o Lifenet ECG, sistema vital para transmissão de dados cardíacos em emergências médicas em Maryland. Já na Verifone, as capturas divulgadas pelo Handala mostram painéis reais de gerenciamento de servidores Windows e IIS, mas sem evidência de execução remota ou exfiltração confirmada, o que torna o caso um exemplo clássico de 'reivindicação falsificável': provas superficiais, negação firme da vítima e ausência de impacto observável nos serviços.
A motivação declarada, retaliação a supostos ataques aéreos dos EUA a Minab (Irã) e a supostos bombardeios israelenses a bancos iranianos, segue o padrão de escalada cibernética iraniana pós-28/02/2026. Desde então, grupos ligados ao MOIS intensificaram ataques contra setores sensíveis: saúde, defesa, finanças e infraestrutura elétrica. O fato de terem escolhido duas empresas americanas com forte presença global em infraestrutura médica e financeira não é acidental: são alvos simbólicos e funcionais, capazes de gerar interrupção real e pressão política.
Por que isso importa
Esse episódio mostra como ataques estatais estão migrando do 'espionagem silenciosa' para sabotagem aberta com impacto físico. A Stryker não sofreu apenas uma parada de TI: teve equipamentos médicos críticos offline, colocando vidas em risco indiretamente. Para empresas de saúde e pagamentos, isso significa que políticas de segurança devem agora contemplar cenários de guerra cibernética assimétrica, não só proteger dados, mas garantir continuidade operacional mesmo sob ataque destrutivo direto. A negativa da Verifone também revela um novo desafio: como validar ou refutar reivindicações quando o inimigo publica telas reais de ambientes administrativos, mas sem provar execução ou dano real. Nesse jogo, a reputação e a confiança dos clientes dependem menos da declaração oficial e mais da capacidade de demonstrar, em tempo real, integridade dos sistemas.
Perguntas frequentes
O Handala é realmente ligado ao governo iraniano?
Sim. Análises da CISA, Mandiant e Microsoft atribuem o grupo ao Ministério de Inteligência e Segurança do Irã (MOIS), integrando o cluster conhecido como Void Manticore. Não é um coletivo independente, mas uma unidade operacional com táticas, técnicas e procedimentos (TTPs) alinhados a campanhas estatais documentadas desde 2023.
Por que o ataque à Stryker usou o Microsoft Intune?
O Handala explorou credenciais válidas de administradores para acessar o Intune, ferramenta de gerenciamento de dispositivos da Microsoft. Com ela, conseguiram executar comandos de limpeza em massa, inclusive em BYODs. Isso mostra que a maior vulnerabilidade não está no software, mas no controle de privilégios administrativos e na higiene de senhas em ambientes corporativos globais.
A Verifone pode estar mentindo ao negar o ataque?
Não há evidência de que esteja. Capturas de tela de painéis administrativos podem ser obtidas por meio de vazamentos antigos, acesso legítimo comprometido ou até engenharia social. A Verifone afirma que revisou logs, endpoints e fluxos de pagamento, e não encontrou anomalias. Em casos assim, a ausência de impacto observável nos serviços é um indicador mais confiável do que a simples existência de telas divulgadas.
O que empresas de saúde e pagamentos devem fazer agora?
Priorizar a segmentação rigorosa de ferramentas de gerenciamento (como Intune ou SCCM), exigir autenticação multifator forte para contas administrativas e testar planos de recuperação após ataques destrutivos, não só de ransomware. Também é essencial monitorar atividades em tempo real em consoles de administração, não apenas em endpoints.
Fontes
- hackread.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 12 de março de 2026
- Editoria
- CEVIU Segurança da Informação
