Ransomware Handala

El ransomware Handala, también conocido como Handala Hacking Team es un grupo cibercriminal de naturaleza hacktivista con fuertes motivaciones ideológicas, específicamente en apoyo a la causa palestina. Este grupo comenzó su actividad a finales del año 2023 pero empezó a ser visible a nivel internacional hasta casi mediados del año 2024. 

  

Esta amenaza centra casi exclusivamente sus ataques en Israel, país que es el foco de su ideología y hasta ahora solo se han detectado pocos ataques en otros países, siendo uno en Estados unidos, Alemania, Suiza y otro en Siria. También es importante mencionar que se ha detectado que las organizaciones o víctimas de este grupo se centran más en los sectores de tecnología, gobierno, salud, electricidad y manufactura. 


Víctimas de handala por sector [1]   
 

A diferencia de otros grupos de ransomwares que están influenciados puramente por motivos financieros, Handala combina técnicas de ataque típicas pero con una clara motivación política. Sus campañas se caracterizan por el uso de múltiples tácticas de ataque inicial, entre las más comunes se encuentra spear-phishing, a través del cual envían correos electrónicos o mensajes SMS personalizados que contienen archivos PDF o enlaces maliciosos disfrazados como documentos oficiales, actualizaciones de seguridad o mensajes de emergencia. 

Una vez logran engañar a las víctimas y obtienen acceso a la infraestructura realiza movimientos laterales dentro de la red para escalar privilegios y alcanzar servidores críticos, como los de correo electrónico, bases de datos financieras o centros de respaldo. En este punto el grupo buscara la información crítica de sus víctimas para proceder a exfiltrarla, cifrarla y encriptarla. también se ha detectado que esta amenaza utiliza una herramienta llamada wiper que actualmente no es tan usada por los actores de amenazas pero ha ido ganado relevancia debido a que se utiliza para borrar archivos, sobrescribirlos y eliminar respaldos de información.  

Aunque esta amenaza no tiene motivaciones centradas en la parte financiera si se ha monitoreado que utiliza la táctica de doble extorsión en la cual los ciberdelincuentes exfiltran la información y después pide un pago de rescate, en caso de no realizar el pago el grupo amenaza a sus víctimas con publicar la información en su sitio de filtraciones y en grupos de Telegram. 


Sitio de filtraciónes ransomware handala [2]   
 

Taxonomía MITRE ATT&CK 

Táctica	ID	Técnica
Initial Access	T1566.001	Spearphishing Attachment
	T1190	Exploit Public-Facing App
Execution	T1059.	Command and Scripting Interpreter
Persistence	T1547.001	Scheduled Task
Defense Evasion	T1140	Deobfuscate/Decode Files
Credential Access	T1555	Credentials from Password Stores
Discovery	T1016	System Network Configuration Discovery
Collection	T1560.001	Archive Collected Data
Command-and-Control	T1071.001	Application Layer Protocol
Exfiltration	T1041	Exfiltration Over C2
Impact	T1486	Data Encryption
	T1561	Disk Wipe

 

Indicadores de compromiso  

IOC	Tipo
6f79c0e0e1aab63c3aba0b781e0e46c95b5798b2d4f7b6ecac474b5c40b840ad	sha256
96dec6e07229201a02f538310815c695cf6147c548ff1c6a0def2fe38f3dcbc8	sha256
Fe07dca68f288a4f6d7cbd34d79bb70bc309635876298d4fde33c25277e30bd2	Md5
4551a6cdf8d23a96aa4124ac9bdb6d1d	md5
336167b8c5cfc5cd330502e7aa515cc133656e12cbedb4b41ebbf847347b2767	sha256
454e6d3782f23455875a5db64e1a8cd8eb743400d8c6dadb1cd8fd2ffc2f9567	sha256
185.215.113.66	ip
185.215.113.84	ip

 

Recomendaciones

• Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque. 

• Auditar herramientas de acceso remoto. (NIST CSF, 2024) 

• Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024) 

• Limitar estrictamente el uso de los protocolos SMB y RDP. 

• Realizar auditorías de seguridad. (NIST CSF, 2024) 

• Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)  

• Tener filtros de correo electrónico y spam. 

• Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social. 

• Realizar copias de seguridad, respaldos o back-ups constantemente. 

• Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos. 

• Revisar continuamente los privilegios de los usuarios. 

• Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante). 

• Habilitar la autenticación multifactor. 

Referencias

1. Threat Intelligence Report June 17th to June 23rd, 2025. (2025, Junio 23). Recuperado el 01 de julio de 2025, en: https://redpiranha.net/news/threat-intelligence-report-june-17-june-23-2025 
2. Checker, C. &. F. (2025, Junio 23). Handala Ransomware Targets Shelter Locations in Israel: A Critical Cybersecurity Alert - UNDERCODE NEWS. UNDERCODE NEWS. Recuperado el 01 de julio de 2025, en: https://undercodenews.com/handala-ransomware-targets-shelter-locations-in-israel-a-critical-cybersecurity-alert/ 
3. LevelBlue - Open Threat Exchange. (2024, Junio 26). LevelBlue Open Threat Exchange Recuperado el 01 de julio de 2025, en: https://otx.alienvault.com/pulse/66556dd74a6d0019c757c03d 

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios