Хакеры из группировки Handala заявили об уничтожении 6 петабайт данных в государственных учреждениях финансового хаба Персидского залива

По утверждению злоумышленников, им удалось уничтожить около 6 петабайт данных с помощью программ-стирателей (класс вредоносного ПО, безвозвратно удаляющего информацию) и одновременно похитить 149 терабайт секретных документов. Такая комбинация разрушения и кражи стала для Handala уже привычным методом работы.

Группа известна под разными именами: Void Manticore, HomeLand Justice, Karma, Storm-0842 и Banished Kitten. Американские правоохранители, в частности ФБР и Министерство юстиции, с высокой степенью уверенности считают её подконтрольной подставной структурой Министерства разведки и безопасности Ирана.

На момент написания заметки ни одна из якобы атакованных организаций, равно как и правительство страны, официально не подтвердили факт взлома. Независимая верификация заявленного масштаба пока не проведена. Однако отсутствие официальных комментариев не может считаться доказательством того, что инцидента не было. Государственные структуры, столкнувшиеся с разрушительными атаками, часто откладывают публичные заявления на время расследования. К тому же страны GCC традиционно очень сдержанны в раскрытии информации о киберинцидентах, затрагивающих критически важную инфраструктуру.

Стоит помнить, что Handala не раз была замечена в преувеличении собственных успехов. Заявленные шесть петабайт уничтоженных данных и 149 терабайт похищенных документов с высокой вероятностью являются завышенными. Тем не менее группа на протяжении всего 2026 года демонстрировала реальные разрушительные возможности в атаках на медицинские учреждения, правительственные органы, оборонный сектор и критическую инфраструктуру. Это означает, что некоторый уровень несанкционированного доступа и нанесённого ущерба, пусть и гораздо ниже заявленного, скорее всего имел место.

В подтверждение своих слов хакеры опубликовали скриншоты интерфейсов управления хранилищами, где видны массовые удаления томов, панели администрирования, напоминающие системы защиты электронной почты, и признаки привилегированного административного контроля над взломанными системами. Такие доказательства соответствуют стандартной практике группы публиковать технические свидетельства атак. Правда, нельзя исключать, что скриншоты могли быть подделаны, постановочными или относиться к менее значимым системам.

Специалисты в аналитической записке напоминают, что атака полностью соответствует известному операционному почерку и техническим возможностям Handala. Скорее всего, злоумышленники проникли в сети через скомпрометированные учётные данные VPN, полученные путём перебора паролей или с помощью вредоносных программ-похитителей (infostealer, которые воруют пароли из браузеров и систем), а также через целевые фишинговые атаки на привилегированных пользователей. Эти приёмы уже использовались группой ранее, в том числе при атаке на крупную американскую корпорацию, где якобы было выведено из строя более 200 тысяч устройств в 79 странах через легитимную облачную платформу управления конечными точками.

Последствия для атакованных секторов могут быть катастрофическими, если заявления хакеров хотя бы частично подтвердятся. Уничтожение данных в юридическом секторе способно затронуть судебные архивы, материалы разбирательств и личные документы граждан. В экономической сфере под ударом могут оказаться финансовые базы данных, регуляторная отчётность и корпоративные реестры. Нарушение работы транспортной инфраструктуры грозит сбоями в системах городской мобильности, расписаниях общественного транспорта и логистических цепочках. А факт кражи секретных правительственных документов создаёт долгосрочную угрозу утечки информации и открывает возможности для будущих информационно-психологических операций противника.

Геополитический контекст серьёзно повышает градус угрозы. Продолжающийся региональный конфликт 2026 года с участием Ирана создаёт повышенную мотивацию для проведения киберопераций против стран, воспринимаемых как противники. Недавние полицейские акции против операторов Handala, включая аресты и изъятие инфраструктуры, могли стать дополнительным стимулом для мести. Нанесение удара по финансовому центру GCC в разгар активных боевых действий - это осознанная демонстрация иранских кибервозможностей и готовности атаковать критическую инфраструктуру государств, поддерживающих враждебные коалиции.

Учитывая реальный разрушительный потенциал Handala, их известную тактику сочетания стирания данных с кражей, текущую обострённую обстановку и возможные ответные действия после недавних полицейских операций, организациям в регионе GCC стоит рассматривать эту группу как серьёзную угрозу. Требуются немедленные проверки защитных мер, независимо от того, получит ли заявление от двенадцатого апреля полное подтверждение.

Среди первоочередных действий администрациям критической инфраструктуры следует провести аудит всех привилегированных учётных записей, особенно имеющих доступ к облачным платформам управления устройствами, где Handala уже размещала свои стиратели. Необходимо внедрять устойчивые к фишингу методы многофакторной аутентификации, модели доступа по принципу строгой необходимости с нулевыми постоянными правами для глобальных администраторов и требовать обязательного согласования массовых операций с участием нескольких администраторов. Также важно контролировать утечку учётных данных на теневых форумах и в логах похитителей паролей, немедленно менять скомпрометированные пароли, блокировать подозрительные подключения из необычных географических точек и известных VPN-узлов. Не стоит забывать про резервное копирование на отключённые от сети, изолированные и неизменяемые носители - единственный реальный способ восстановления после работы программ-стирателей.

IPv4

• 107.189.19.52
• 146.185.219.235
• 31.57.35.223
• 82.25.35.25

Domains

• handala.ps
• handala-alert.to
• handala-hack.to
• handala-hack.tw
• handala-redwanted.to
• justicehomeland.org
• karmabelow80.org