Die beschlagnahmten Domains zeigen nun einen Hinweis, wonach sie vom Federal Bureau of Investigation auf Grundlage eines gerichtlich genehmigten Beschlagnahmungsbeschlusses übernommen wurden. Den Strafverfolgungsbehörden zufolge sei die jeweilige Domain genutzt worden, um „böswillige Cyberaktivitäten im Auftrag oder in Abstimmung mit einem ausländischen staatlichen Akteur durchzuführen, zu erleichtern oder zu unterstützen". Dazu könnten unbefugte Eindringversuche in Netzwerke, das Angreifen von Infrastruktur oder andere Verstöße gegen US-Recht zählen. Mit der gerichtlich autorisierten Übernahme wolle die US-Regierung laufende schädliche Cyberoperationen unterbinden und weiteren Missbrauch verhindern.

Ob das FBI lediglich die Domains beschlagnahmt hat oder auch Zugriff auf die Inhalte der Webseiten sowie auf Server-Protokolle besitzt, ist nicht bekannt.

Vorausgegangen war ein groß angelegter Angriff von Handala auf den US-Medizintechnik-Konzern Stryker. Dabei kompromittierten die Angreifer ein Windows-Domänenadministratorkonto und legten ein neues Konto mit Global-Administrator-Rechten an, das sie für den Angriff nutzten.

Anschließend setzten sie über den Microsoft-Intune-Befehl „wipe" rund 80.000 Geräte auf die Werkseinstellungen zurück – darunter Computer und Mobilgeräte. Auch Beschäftigte, deren private Geräte vom Unternehmen verwaltet wurden, fanden ihre Geräte gelöscht vor.

Handala hat die Beschlagnahme der Webseiten eingeräumt und auf die Notwendigkeit einer „widerstandsfähigeren Infrastruktur" verwiesen. In einem Beitrag auf Telegram erklärte die Gruppe, der Aufbau einer neuen digitalen Basis sei ein komplexer und zeitaufwendiger Prozess, man bleibe aber entschlossen, die eigene Mission ohne Unterbrechung fortzusetzen. Neue Webseiten zur Ankündigung ihrer Angriffe seien bereits in Vorbereitung.

Nach dem Angriff veröffentlichten Microsoft und die US-Behörde CISA Empfehlungen zur Absicherung von Windows-Domänen und zum Schutz von Intune, um vergleichbare Angriffe bei anderen Unternehmen zu verhindern.