Microsoft: Octo Tempest es uno de los grupos de piratería financiera más peligrosos

-


Los piratas informáticos de Octo Tempest utilizan técnicas avanzadas de ingeniería social y amenazas violentas para extorsionar a las organizaciones

Microsoft ha publicado un perfil detallado de un actor de amenazas de habla inglesa con capacidades avanzadas de ingeniería social, al que sigue bajo el nombre de Octo Tempest, que se enfoca en empresas para extorsionar datos y llevar a cabo ataques de ransomware.

Los ataques de Octo Tempest han evolucionado constantemente desde principios de 2022, ampliando su objetivo a organizaciones que brindan servicios de telecomunicaciones por cable, correo electrónico y tecnología, y asociándose con el grupo de ransomware ALPHV/BlackCat.

Desde el robo de cuentas hasta el ransomware

Inicialmente, se observó que el actor de amenazas vendía cambios de SIM y robaba cuentas de personas influyentes con activos de criptomonedas.

A finales de 2022, Octo Tempest pasó a la suplantación de identidad, la ingeniería social, el restablecimiento masivo de contraseñas para los clientes de proveedores de servicios comprometidos y el robo de datos.

A principios de este año, el grupo de amenazas atacó a empresas en los sectores de juegos, hostelería, comercio minorista, fabricación, tecnología y servicios financieros, así como a proveedores de servicios gestionados (MSP).

Después de convertirse en afiliado de ALPHV/BlackCat, Octo Tempest desplegó el ransomware tanto para robar como para cifrar los datos de las víctimas.

Evolución del grupo de amenazas Octo Tempest hacia el ransomware


El grupo utilizó su experiencia acumulada para desarrollar ataques más avanzados y agresivos, y también comenzó a monetizar las intrusiones al extorsionar a las víctimas después de robar datos.

Microsoft señala que Octo Tempest también usó amenazas físicas directas en algunos casos para obtener credenciales de inicio de sesión que avanzarían en su ataque.




En un giro extraño de los acontecimientos, Octo Tempest se convirtió en afiliado de la operación de ransomware como servicio (RaaS) ALPHV/BlackCat, según Microsoft, y a partir de junio comenzaron a desplegar tanto las cargas útiles de ransomware de Windows como de Linux, centrándose en los servidores VMware ESXi recientemente.

"Es notable que, históricamente, los grupos de ransomware de Europa del Este se negaron a hacer negocios con criminales de habla inglesa nativa" - Microsoft

Los ataques más recientes de este grupo se dirigen a organizaciones en una variedad de sectores, incluyendo juegos, recursos naturales, hostelería, productos de consumo, comercio minorista, proveedores de servicios gestionados, fabricación, derecho, tecnología y servicios financieros.

Técnicas, tácticas y procedimientos de Octo Tempest

Microsoft evalúa que Octo Tempest es un grupo bien organizado que incluye miembros con un amplio conocimiento técnico y varios operadores con experiencia práctica.

Los piratas informáticos a menudo obtienen acceso inicial a través de una ingeniería social avanzada que se dirige a las cuentas de administradores técnicos (por ejemplo, personal de soporte y servicio de asistencia) con suficientes permisos para avanzar en el ataque.

Investigan a la empresa para identificar a las personas a las que pueden suplantar al punto de imitar los patrones de habla de la persona en llamadas telefónicas.

Al hacerlo, engañan a los administradores técnicos para que restablezcan contraseñas y métodos de autenticación de múltiples factores (MFA).

Otros métodos para obtener acceso inicial incluyen:

  • Engañar al objetivo para que instale software de monitoreo y gestión remota
  • Robar las credenciales a través de sitios de phishing
  • Comprar credenciales o tokens de sesión a otros ciberdelincuentes
  • Enviar mensajes de phishing por SMS a empleados con enlaces a portales de inicio de sesión falsos que capturan las credenciales
  • Cambio de SIM o reenvío de llamadas
  • Amenazas directas de violencia
Una vez que obtienen suficiente acceso, los piratas informáticos de Octo Tempest inician la etapa de reconocimiento

 del ataque enumerando hosts y servicios y recopilando información que permitiría abusar de canales legítimos para avanzar en la intrusión.

"La exportación masiva inicial de información de usuarios, grupos y dispositivos es seguida de cerca por la enumeración de datos y recursos disponibles para el perfil del usuario dentro de la infraestructura de escritorio virtual o recursos alojados en la empresa" - Microsoft

Octo Tempest procede luego a explorar la infraestructura, enumerando el acceso y los recursos en entornos en la nube, repositorios de código, sistemas de administración de servidores y copias de seguridad.

Para escalar privilegios, el actor de amenazas vuelve a la ingeniería social, el cambio de SIM o el reenvío de llamadas, e inicia un restablecimiento de contraseña de autoservicio de la cuenta del objetivo.

Durante esta etapa, los piratas informáticos generan confianza con la víctima utilizando cuentas comprometidas y demostrando comprender los procedimientos de la empresa. Si tienen una cuenta de gerente, aprueban solicitudes de mayores permisos por sí mismos.

Mientras tengan acceso, Octo Tempest continúa buscando credenciales adicionales para expandir su alcance. Utilizan herramientas como Jercretz y TruffleHog para automatizar la búsqueda de claves en texto sin formato, secretos y contraseñas en repositorios de código.

Para mantener ocultas sus huellas, los piratas informáticos también se dirigen a las cuentas del personal de seguridad, lo que les permite desactivar productos y características de seguridad.

"Utilizando cuentas comprometidas, el actor de amenazas aprovecha las tecnologías de respuesta y manejo de dispositivos para permitir herramientas maliciosas, desplegar software de gestión y monitoreo remoto, eliminar o dañar productos de seguridad, robar datos de archivos sensibles (por ejemplo, archivos con credenciales, bases de datos de mensajería de señal, etc.) y desplegar cargas útiles maliciosas" - Microsoft

Según Microsoft, Octo Tempest intenta ocultar su presencia en la red suprimiendo alertas de cambios y modificando las reglas del buzón de correo para eliminar correos electrónicos que podrían despertar las sospechas de la víctima de una violación.

Los investigadores proporcionan las siguientes herramientas y técnicas adicionales que Octo Tempest utiliza en sus ataques:

  • Herramientas de código abierto: ScreenConnect, FleetDeck, AnyDesk, RustDesk, Splashtop, Pulseway, TightVNC, LummaC2, Level.io, Mesh, TacticalRMM, Tailscale, Ngrok, WsTunnel, Rsocx y Socat
  • Despliegue de máquinas virtuales de Azure para habilitar el acceso remoto a través de la instalación de RMM o la modificación de recursos existentes a través de la consola serial de Azure
  • Agregar métodos de autenticación de múltiples factores a los usuarios existentes
  • Uso de la herramienta de túneles Twingate, que aprovecha las instancias de contenedores de Azure como conector privado (sin exposición a la red pública)
Los piratas informáticos también trasladan los datos robados a sus servidores utilizando una técnica única, que implica Azure Data Factory y tuberías automatizadas para mezclarse con las operaciones típicas de big data.

Para exportar bibliotecas de documentos de SharePoint y transferir los archivos más rápido, el atacante a menudo ha sido observado registrando soluciones de copia de seguridad legítimas de Microsoft 365, como Veeam, AFI Backup y CommVault.

Microsoft señala que detectar o rastrear a este actor de amenazas en un entorno no es una tarea sencilla debido al uso de la ingeniería social, las técnicas de "living-off-the-land" y las diversas herramientas.

Sin embargo, los investigadores proporcionan un conjunto de pautas generales que podrían ayudar a detectar actividad maliciosa, que comienza con la monitorización y revisión de los procesos relacionados con la identidad, los entornos de Azure y los puntos finales.

Octo Tempest está motivado financieramente y logra sus objetivos robando criptomonedas, extorsionando el robo de datos o cifrando sistemas y solicitando un rescate.


Contenido traducido al español con fines informativos, cualquier cambio en la publicación original no será reflejada en esta entrada, favor referirse a la fuente para obtener el acceso a cualquier actualización del contenido. Para la traducción se utilizó un LLM, al ser una traducción automática puede contener errores gramaticales o de otro tipo, me pueden enviar un mensaje.

Comentarios

Publicar un comentario

Entradas más populares de este blog

DeepSeek: Ciberataque expone vulnerabilidades críticas en su modelo de IA R1 y reaviva debates sobre seguridad global

-
Imagen
La empresa china de inteligencia artificial DeepSeek enfrenta una tormenta de críticas tras revelar que un ciberataque masivo interrumpió sus servicios de registro de usuarios este lunes. El incidente coincide con hallazgos alarmantes de investigadores de seguridad: su modelo de IA *R1*, promocionado como una alternativa económica a ChatGPT y Gemini, presenta vulnerabilidades que permiten generar contenido malicioso y evadir controles éticos.   Detalles del ataque y fallos técnicos  Ataque DDoS sospechado : Aunque DeepSeek no confirmó detalles técnicos, expertos sugieren que el ataque fue de denegación de servicio (DDoS), saturando sus servidores para bloquear nuevos registros. La empresa aseguró que los usuarios existentes no se vieron afectados.   Falsas cuentas y riesgos de suplantación : DeepSeek alertó sobre perfiles falsos en redes sociales que imitan su marca, un movimiento que podría vincularse a campañas de phishing o desinformación.   Vulner...
Leer más

Resumen de los Principales Acontecimientos en Ciberseguridad de 2024

-
Imagen
El año 2024 ha sido testigo de eventos significativos en el ámbito de la ciberseguridad, marcados por avances tecnológicos, amenazas emergentes y respuestas regulatorias. Aumento de los Ataques de Ransomware  The Verge El ransomware continuó siendo una amenaza predominante. Grupos como LockBit llevaron a cabo ataques a gran escala, afectando a más de 2,500 entidades en al menos 120 países, incluyendo 1,800 en los Estados Unidos. Estos ataques resultaron en pérdidas financieras significativas y comprometieron datos sensibles de diversas organizaciones. Avances en la Regulación y Responsabilidad de las Empresas Tecnológicas  The Verge La propuesta de la Ley de Seguridad en Línea para Niños (KOSA) en los Estados Unidos buscó aumentar la responsabilidad de las empresas de redes sociales en la protección de los menores en línea. Aunque enfrentó desafíos legislativos, reflejó una tendencia global hacia una mayor regulación de las plataformas digitales para salvaguardar a los usuario...
Leer más

Microsoft Reemplaza Aplicación de Escritorio Remoto por Windows App: Implicaciones en Ciberseguridad

-
Imagen
Microsoft ha anunciado que, a partir del 27 de mayo de 2025, la aplicación Remote Desktop disponible en la Microsoft Store dejará de ser compatible y será reemplazada por la nueva Windows App. Esta transición busca unificar y mejorar las experiencias de escritorio remoto en sus plataformas, pero también plantea consideraciones importantes en términos de ciberseguridad. ​   Mejoras en Seguridad con Windows App La Windows App, lanzada en septiembre de 2024, ofrece varias mejoras significativas en comparación con la antigua aplicación de Escritorio Remoto:​ Acceso Unificado y Seguro : Proporciona acceso consolidado a múltiples servicios de Windows, incluyendo Windows 365, Azure Virtual Desktop y Microsoft Dev Box, desde una interfaz simplificada. Esta unificación reduce la superficie de ataque al centralizar los puntos de acceso. ​ Soporte Multimonitor y Resoluciones Dinámicas : Facilita una experiencia más fluida y adaptable, permitiendo a los usuarios trabajar de manera más efi...
Leer más