A atividade ligada ao Void Manticore combina acesso VPN, movimentação lateral manual, extração de credenciais e destruição por wipers, GPO, VeraCrypt e exclusão direta de arquivos.
| Componente | Operações atribuídas ao Handala Hack, persona ligada ao Void Manticore, também conhecido como Red Sandstorm e Banished Kitten. |
| Vetor | Uso de contas VPN comprometidas, tentativas de força bruta contra acesso remoto, RDP para movimentação lateral e implantação manual de ferramentas como NetBird. |
| Impacto | Destruição de dados por handala.exe, scripts PowerShell, limpeza baseada em MBR, criptografia com VeraCrypt, exclusão manual de arquivos e remoção de máquinas virtuais. |
| Prioridade | Reforçar MFA em VPN e contas privilegiadas, auditar autenticações anômalas, restringir RDP, caçar uso não autorizado de NetBird e validar GPOs usadas para tarefas agendadas. |
| Artefatos | handala.exe, handala.bat, dra.ps1, comsvcs.dll, rundll32.exe, LSASS, HKLM, NetBird, VeraCrypt. |
| IoCs | 107.189.19[.]52, 146.185.219[.]235, segmento 169.150.227.X, nomes de host no padrão DESKTOP-XXXXXX e WIN-XXXXXX. |
| Mitigação | Aplicar acesso condicional por país e dispositivo, limitar VPN a localidades de negócio, bloquear ou restringir tráfego de alto risco e monitorar IPs Starlink quando não houver necessidade operacional. |
O Handala Hack opera como persona pública do Void Manticore, um agrupamento iraniano associado a campanhas destrutivas, intrusões com vazamento de dados e ações contra organizações em Israel, Albânia e Estados Unidos. O mesmo conjunto de atividade também aparece relacionado aos nomes Red Sandstorm e Banished Kitten, com outras frentes operacionais como Karma e Homeland Justice. A função dessas personas não é apenas comunicacional: elas aparecem em notas deixadas em ambientes comprometidos, em mensagens incorporadas a wipers, em canais de vazamento e em materiais usados para reivindicar impacto após a intrusão.
A cadeia observada entre 2024 e 2026 mantém uma característica consistente: operações conduzidas manualmente dentro da rede, com dependência de credenciais válidas, RDP, ferramentas públicas e utilitários legítimos usados fora do contexto esperado. O grupo não depende de exploração sofisticada em todos os casos; a etapa crítica costuma ser o acesso autenticado a VPN ou a serviços remotos. Depois do acesso inicial, os operadores validam contas, enumeram Active Directory, extraem credenciais, ampliam controle interno e distribuem componentes destrutivos por mecanismos administrativos já existentes no domínio.
A atividade recente mostra ampliação de escopo para organizações nos Estados Unidos, incluindo referência a uma intrusão envolvendo a empresa de tecnologia médica Stryker. O padrão operacional continua voltado a impacto direto: roubo de dados para exposição pública, degradação de infraestrutura e destruição de estáções, servidores e ativos virtualizados. Para defesa, o valor técnico da campanha está menos em um único malware e mais na combinação de sinais: autenticação anômala em VPN, hostnames Windows padrão, sessões RDP fora do perfil do usuário, execução de ferramentas de reconhecimento, uso de túneis mesh e criação de GPOs para execução em massa.
O acesso inicial descrito para o Handala Hack parte principalmente de credenciais comprometidas de VPN e de tentativas intensivas de autenticação contra infraestrutura de acesso remoto. Foram observadas centenas de tentativas de logon e força bruta associadas a infraestrutura vinculada ao ator, frequentemente saindo de nós de VPN comercial. Em muitos eventos, os sistemas de origem apresentavam nomes padrão do Windows, como DESKTOP-XXXXXX ou WIN-XXXXXX, um detalhe útil para correlação quando combinado com país incomum, horário atípico e ausência de histórico anterior para a conta.
A infraestrutura de saída variou ao longo do tempo. Em operações anteriores contra alvos em Israel, o tráfego foi associado ao segmento de VPN comercial 169.150.227.X. Em momentos de falha de VPN, conexões expuseram endereços iranianos ou VPS. Após a interrupção de internet no Irã em janeiro, eventos semelhantes passaram a aparecer a partir de faixas Starlink, em paralelo com queda de disciplina operacional e conexões diretas a partir de endereços no Irã. Também foi observado uso do nó 146.185.219[.]235, avaliado como ligado a serviço VPN, em uma tentativa de manter saída por infraestrutura israelense.
Depois de obter acesso, os operadores trabalham de forma manual. Em uma intrusão recente, o acesso à rede parecia existir havia meses antes da fase destrutiva, indicando persistência suficiente para coletar credenciais de alto privilégio e preparar a execução. Nas horas anteriores ao impacto, a atividade incluiu validação de autenticação, desativação de proteções do Windows Defender, reconhecimento e roubo de credenciais. Houve tentativa de buscar carga adicional em 107.189.19[.]52, seguida por extração de credenciais com despejo do processo LSASS por comsvcs.dll via rundll32.exe, exportação de hives sensíveis como HKLM e execução do ADRecon renomeado como dra.ps1 para enumerar o ambiente Active Directory.
A movimentação lateral usa RDP como principal canal operacional. Para sistemas não acessíveis diretamente, os operadores implantaram NetBird, uma plataforma legítima de rede mesh zero trust, baixada manualmente pelo navegador a partir do site oficial. Ao instalar NetBird em várias máquinas comprometidas, o grupo criou conectividade interna controlada e passou a operar a partir de múltiplos pontos dentro do ambiente. Em um incidente, pelo menos cinco máquinas controladas pelo atacante atuaram simultaneamente, permitindo aceleração da fase destrutiva e redundância caso uma sessão fosse interrompida.
A superfície mais exposta inclui VPN corporativa, SSO, contas com privilégio administrativo, servidores de domínio, estáções com RDP habilitado, máquinas com navegação irrestrita para download de ferramentas e plataformas de virtualização acessíveis com credenciais administrativas. Como a operação depende de credenciais válidas, a ausência de MFA resistente a phishing, políticas fracas de acesso condicional e permissões excessivas em contas de serviço aumentam diretamente o risco. Ambientes onde administradores usam VPN e RDP sem segmentação entre funções também oferecem caminho curto entre uma conta comprometida e o controle de domínio.
A fase destrutiva demonstrou uso combinado de quatro técnicas. O componente customizado Handala Wiper, observado em instâncias como handala.exe, foi distribuído por tarefas agendadas e scripts de logon via Group Policy. O arquivo handala.bat acionava dois componentes de limpeza, incluindo executável e script PowerShell. O executável era lançado remotamente a partir do Domain Controller e não precisava ser gravado no disco das máquinas afetadas, o que reduz a visibilidade baseada apenas em criação local de arquivo. O wiper sobrescrevia conteúdo de arquivos e usava técnicas contra MBR para corromper ou inutilizar sistemas.
Outro componente destrutivo em PowerShell enumerava diretórios de usuários e apagava arquivos, ampliando o dano provocado pela etapa inicial. A estrutura do código e a presença de comentários detalhados indicam provável auxílio de IA no desenvolvimento, mas essa característica não altera a prioridade defensiva: o comportamento observável é enumeração ampla de arquivos, exclusão recursiva e execução via mecanismos administrativos. Além disso, operadores tentaram usar VeraCrypt para criptografar unidades de sistema, adicionando uma camada de indisponibilidade que dificulta recuperação mesmo quando a limpeza por wiper falha parcialmente.
Também foram observadas ações destrutivas diretas, como exclusão manual de arquivos por RDP e remoção de máquinas virtuais a partir da plataforma de virtualização. Esse detalhe é importante porque controles focados somente em malware podem não detectar a parte mais simples do ataque. Quando um operador possui credenciais administrativas e console de virtualização, a destruição pode ocorrer por comandos legítimos, seleção manual de arquivos, remoção de discos virtuais ou apagamento de VMs, sem necessidade de exploração adicional.
- VPN, SSO e contas remotas sem MFA forte são pontos prováveis de entrada.
- Domain Controllers e GPOs podem ser usados para distribuir
handala.bat,handala.exee scripts PowerShell. - Hosts com RDP habilitado permitem validação manual, movimentação lateral e operação de ferramentas baixadas pelo navegador.
- Plataformas de virtualização ficam em risco quando credenciais administrativas são reutilizadas ou expostas no domínio.
A busca deve começar por autenticação. Eventos de VPN, SSO, RDP e Active Directory devem ser correlacionados por usuário, origem, país, ASN, dispositivo, horário, sucesso após falhas repetidas e primeiro uso de localidade. Tentativas vindas de infraestrutura VPN comercial, IPs iranianos, faixas Starlink sem justificativa operacional ou nomes de host DESKTOP-XXXXXX e WIN-XXXXXX devem receber revisão quando associados a contas sensíveis. O sinal é mais forte quando há login fora do horário normal, ausência de dispositivo gerenciado ou salto rápido de uma conta comum para sistemas administrativos.
No endpoint, a execução de rundll32.exe carregando comsvcs.dll para despejar LSASS é um evento de alta prioridade, principalmente quando aparece em servidor, estáção administrativa ou host usado para RDP. Exportações de HKLM, leitura de hives de registro, execução de PowerShell com scripts de enumeração e presença de dra.ps1 devem ser investigadas como possível preparação para domínio. A desativação ou alteração de políticas do Windows Defender antes de reconhecimento ou cópia de credenciais também deve ser tratada como indicador de comprometimento ativo, não como ajuste administrativo isolado.
Na rede, a instalação ou execução de NetBird fora de inventário deve ser tratada como criação de túnel não autorizado. Como a ferramenta é legítima, a detecção precisa cruzar processo, caminho de instalação, usuário que baixou o instalador, sessão RDP ativa, conexão de saída e máquinas adicionadas à mesma malha. O mesmo raciocínio vale para VeraCrypt: em ambiente corporativo, download manual pelo navegador, instalação em host recém-acessado por RDP e operações de criptografia de disco devem disparar contenção antes da conclusão da atividade.
Para GPO, a caça deve incluir criação ou alteração de scripts de logon, tarefas agendadas distribuídas, caminhos que referenciam Domain Controller, execução remota de binários sem escrita local e mudanças feitas pouco antes de reinicializações ou logons em massa. A presença de handala.bat ou nomes próximos deve ser investigada, mas a defesa não deve depender de nomes fixos. O comportamento essencial é execução coordenada de scripts e binários destrutivos a partir de infraestrutura de domínio.
- Logons VPN ou SSO de países inéditos para o usuário, especialmente após falhas repetidas.
- Sessões RDP fora do horário normal, com origem em hosts
DESKTOP-XXXXXXouWIN-XXXXXX. rundll32.exeacionandocomsvcs.dllcontraLSASS.- Execução de
dra.ps1, exportação deHKLMe comandos PowerShell de enumeração de Active Directory. - Download, instalação ou tráfego de
NetBirdem máquinas sem aprovação. - Criação de GPOs, scripts de logon ou tarefas agendadas que executem binários a partir do Domain Controller.
- Tentativas de conexão ou download envolvendo
107.189.19[.]52.
A resposta defensiva deve priorizar identidade e acesso remoto. MFA deve ser obrigatório para VPN, SSO, contas administrativas e contas com acesso a virtualização. Quando possível, aplicar MFA resistente a phishing e amarrar acesso a dispositivos gerenciados. Acesso condicional por país, ASN, postura do dispositivo e risco de sessão reduz a utilidade de credenciais roubadas. Se a operação da organização não exige conexões de determinados países ou faixas, o bloqueio deve ser aplicado no perímetro, em VPN e em SSO; quando o bloqueio total não for possível, aumentar exigência de autenticação e telemetria.
RDP precisa ser reduzido ao mínimo operacional. Sistemas que não dependem de RDP devem ter o serviço desativado. Nos demais, o acesso deve passar por jump hosts, segmentação, gravação de sessão, grupos administrativos separados e regras que impeçam movimentação lateral entre estáções. O uso de contas de domínio com privilégio amplo em estáções comuns deve ser eliminado, porque esse padrão fornece ao operador o caminho necessário para roubo de credenciais e controle do domínio. Contas administrativas devem ter escopo limitado, rotação regular e proteção contra reutilização em múltiplas camadas.
Ferramentas legítimas usadas de forma abusiva devem ser controladas por allowlist, EDR e inventário. NetBird, RMMs, clientes VPN adicionais, SSH para Windows e utilitários de túnel devem exigir aprovação explícita. Downloads executados por navegador durante sessões RDP em servidores ou máquinas administrativas devem gerar alerta. Para VeraCrypt, a política deve impedir instalação e execução não autorizadas, além de monitorar chamadas relacionadas a criptografia de volumes. Em ambientes onde a ferramenta é permitida, perfis de uso devem ser definidos para separar operação legítima de atividade destrutiva.
Na camada de domínio, revisar permissões de criação e edição de GPO, auditar scripts de logon, proteger Domain Controllers contra navegação e execução interativa, e alertar para tarefas agendadas distribuídas em massa. Backups precisam ser isolados do domínio, testados regularmente e protegidos contra exclusão por credenciais administrativas comprometidas. Para virtualização, consoles administrativos devem exigir MFA, contas separadas e trilhas de auditoria; exclusão de VMs, snapshots e discos deve ter alertas de alta severidade e, quando viável, controles de aprovação.
Durante contenção, a ordem prática é preservar telemetria, desabilitar contas suspeitas, revogar sessões VPN e SSO, isolar hosts com RDP ativo, bloquear indicadores conhecidos, procurar NetBird e ferramentas de túnel, revisar GPOs recentes e impedir novas execuções de scripts de logon. A recuperação só deve começar após confirmar que credenciais privilegiadas foram rotacionadas e que não há malha interna criada pelo atacante. Restaurar sistemas sem remover acesso persistente apenas devolve infraestrutura operacional ao mesmo operador.
- Habilitar MFA forte em VPN, SSO, contas privilegiadas e consoles de virtualização.
- Restringir VPN a países e dispositivos necessários ao negócio, com exceções documentadas.
- Bloquear ou monitorar de forma reforçada IPs iranianos, infraestrutura VPN comercial suspeita e faixas Starlink sem necessidade operacional.
- Desativar RDP onde não for necessário e concentrar administração em jump hosts monitorados.
- Criar alertas para
rundll32.execomcomsvcs.dll, acesso aLSASS, exportação deHKLMe execução deADRecon. - Impedir instalação não autorizada de
NetBird,VeraCrypt, RMMs e ferramentas de tunelamento. - Auditar GPOs, scripts de logon e tarefas agendadas criadas ou alteradas antes de eventos destrutivos.
- Testar restauração de backups isolados e proteger snapshots e VMs contra exclusão por contas comprometidas.
0 Comentários