.
O último relatório da Microsoft sobre a operação de “um dos grupos criminosos financeiros mais perigosos” oferece aos profissionais de segurança uma abundância de inteligência sobre ameaças para se protegerem de suas inúmeras táticas.
O grupo “único” de língua inglesa nativa é rastreado pela Microsoft como Octo Tempest e no espaço de um ano demonstrou uma evolução consistente e rápida para se tornar um dos grupos de crimes cibernéticos mais bem equipados que existem.
Entre seus recursos que muitas vezes não são possuídos por equipes desse tipo estão phishing por SMS, troca de SIM e engenharia social avançada – todas habilidades úteis para quem deseja atingir organizações de língua inglesa.
Talvez seja a venda usada para convencer o proeminente grupo de ransomware ALPHV/BlackCat a permitir que o Octo Tempest se junte ao seu programa de afiliados no início deste ano. Com Gato preto que se acredita ter laços com a Rússia, a Microsoft disse que foi uma medida notável, visto que os grupos de ransomware do Leste Europeu normalmente se recusam a fazer negócios com criminosos nativos que falam inglês.
Depois de explorar inicialmente o ransomware como parte de seu conjunto de ferramentas, o Octo Tempest originalmente conduziu ataques sem descartar uma carga útil de criptografia, mantendo as táticas de extorsão de dados que havia adotado a partir do final de 2022.
Desde então, ramificou-se para ataques de ransomware em grande escala e está concentrando especificamente seus esforços na exploração de servidores VMware ESXi, o mesmo tipo de ataque que se abateu sobre o MGM Resorts.
Octo Tempest também é rastreado usando outros nomes por diferentes empresas de segurança, como Crowdstrike’s Aranha Espalhadae embora a Microsoft não tenha atribuído diretamente a atividade do Octo Tempest aos ataques à MGM, o grupo reivindicou responsabilidade para eles.
As atividades do grupo parecem muito diferentes agora em comparação com onde começaram no início de 2022, e a Microsoft dividiu a sua evolução em três fases.
Durante a primeira fase, entre o início e o final de 2022, o Octo Tempest teve como alvo principalmente operadoras de redes móveis (MNOs) e organizações de terceirização de processos de negócios usando ataques de troca de SIM, vendendo-os a outros criminosos que poderiam então usá-los para realizar aquisições de contas e roubar criptomoedas.
A partir daí, expandiu a sua rede na fase dois, visando empresas de telecomunicações, bem como prestadores de serviços de e-mail e tecnologia, ramificando-se em ataques de extorsão de dados para rentabilizar as suas intrusões.
A fase três foi caracterizada pela mudança para o ransomware e outro alargamento dos seus objetivos para incluir organizações dos setores de jogos, hotelaria, retalho, produção, recursos naturais, serviços financeiros e tecnologia.
As principais táticas de Octo Tempest
A Microsoft disse que o Octo Tempest exibe uma ampla gama de técnicas em seus ataques que são indicativos de um grupo bem organizado composto por vários indivíduos experientes.
Utilizando frequentemente a sua experiência em engenharia social para obter acesso inicial aos ambientes dos seus alvos, o grupo também demonstrou, em casos raros, um elevado grau de agressão e criminalidade nas suas abordagens.
O Octo Tempest é conhecido por ter como alvo rotineiro os funcionários e a equipe de suporte técnico das organizações para atingir seus objetivos.
Os membros do grupo obtiveram sucesso em convencer os funcionários a baixar ferramentas legítimas de monitoramento remoto que são então utilizadas pelos criminosos para lançar ataques, bem como coagi-los a acessar portais de login maliciosos para roubar suas credenciais e autenticação multifator (MFA) cookies de sessão.
Em casos extremos, os atacantes foram observados enviando mensagens SMS altamente ameaçadoras às vítimas, a fim de persuadi-las a entregar as suas credenciais corporativas, incluindo ameaças à vida humana.
O grupo é conhecido por realizar extensas pesquisas sobre seus alvos, aprendendo como se passar por vítimas e imitando seu estilo específico de discurso para parecer mais convincente em ligações telefônicas.
A equipe de suporte técnico foi alvo no passado de um membro do Octo Tempest que tentava se passar por um novo funcionário para atingir objetivos como estar legitimamente integrado aos sistemas de TI da organização.
A mesma técnica foi utilizada para iniciar alterações de MFA e redefinições de senha de funcionários, que também são realizadas pela equipe do grupo. Ataques de troca de SIM Em ocasião.
Depois de obter o acesso inicial, a Octo Tempest frequentemente se envolve em missões de descoberta para coletar o máximo possível de informações sobre uma empresa, incluindo processos de integração de funcionários, políticas de senha e métodos de acesso remoto.
Os defensores podem observar as atividades do PingCastle e ADRecon como sinais potenciais da atividade do Octo Tempest para investigar o Active Directory de uma organização. Govmoni e Pure Storage FlashArray são usados para enumerar APIs do vCenter e matrizes de armazenamento, respectivamente. O grupo muitas vezes tenta desviar dados do Azure Active Directory relacionados a usuários, grupos e dispositivos.
Em seguida, recorre-se a métodos de escalonamento de privilégios que muitas vezes também dependem da engenharia social, como convencer um funcionário do suporte técnico a redefinir uma senha ou por meio de ataques de troca de SIM para assumir o controle de contas de funcionários.
Ferramentas de código aberto como Mimikatz, Hekatomb, MicroBurst, Jercretz, TruffleHog e muito mais são usadas para uma variedade de tarefas, incluindo roubo de segredos.
Muitas vezes, essa ferramenta pode ser executada devido ao comprometimento de contas pertencentes à equipe de segurança da organização alvo pelo grupo. Os criminosos então desativam os produtos de segurança e reconfiguram as caixas de correio para excluir alertas de e-mail associados, usam as contas privilegiadas para roubar dados que são posteriormente usados para extorquir a vítima, instalam software de monitoramento remoto e conseguem persistência.
A lista completa de ferramentas que Octo Tempest usa contra suas vítimas é detalhada extensivamente no site da Microsoft relatório sobre o grupo, incluindo suas dicas “pouco ortodoxas” para caça proativa a ameaças e configurações para Azul e ID de entrada.
Além de educar a sua força de trabalho sobre a ameaça sofisticada e diversificada que o Octo Tempest representa, as organizações também foram informadas de que os seus canais de comunicação típicos podem não ser seguros e que canais fora de banda devem ser considerados, sempre que possível.
As três grandes plataformas de colaboração no local de trabalho – Slack, Teams e Zoom – foram todas comprometidas pelo grupo antes para roubar planos de resposta a incidentes de chamadas, bem comStrong The Ones gerais de bate-papo, que são então inseridos em ferramentas como Otter para transcrição e posteriormente usados em esforços de extorsão.
Atenção extra deve ser dada às ferramentas legítimas de monitoramento remoto, já que elas são frequentemente utilizadas de forma abusiva pelos invasores, disse a Microsoft. Embora possa não ser viável bloqueá-los devido à necessidade do uso pretendido, a finalidade para a qual estão sendo usados deve ser monitorada cuidadosamente para evitar que os invasores obtenham persistência nos sistemas. ®
.
