Octo Tempest, una ciberamenaza con múltiples capacidades

Según Microsoft, el modus operando de este grupo incluye centrarse en una industria durante semanas o meses, exprimiéndola al máximo antes de pasar a la siguiente. El grupo es conocido como Octo Tempest, aunque también ha recibido nombres como Scattered Spider, Muddled Libra, UNC3944 y 0ktapus. Esta versatilidad onomástica responde también a la amplia capacidad que han demostrado.

La compañía explica que, entre las tácticas habituales de Octo Tempest destacan la ingeniería social para el acceso a cuentas, “simulando ser empleados ante los equipos de soporte técnico”; las campañas de phishing por SMS, incluyendo enlaces maliciosos que imitan las páginas oficiales; el uso de herramientas de evasión como ngrok, Chisel y AADInternals; y los “ataques a infraestructuras híbridas, robo de datos y operaciones de extorsión o ransomware”.

Microsoft señala, además, que su Microsoft Defender “detecta actividad sospechosa relacionada con Octo Tempest” en todo tipo de sistemas, desde el endpoint a las cargas de la nube. Entre otras cosas, identifica solicitudes inesperadas de restablecimiento de contraseñas, volcado de credenciales, consultas LDAP, escaneo SMB y SAMR o el uso de herramientas como Mimikatz o ADExplorer para aumentar los privilegios. Además, el grupo modifica configuraciones EDR y utiliza backdoors.

Octo Tempest es un ejemplo de ciberamenaza con motivación económica con una alta capacidad de infiltración y ataque. En el blog en el que Microsoft Defender Security Research Team explica su actividad, la compañía detalla el modo en que las distintas capacidades de Microsoft Defender se enfrentan a esta amenaza, lo que nos da una idea de todos los frentes de ataque que utiliza este grupo.