Microsoft ha lanciato un avvertimento sulle attività in crescita dell’attore di minacce noto come Octo Tempest, il cui approccio sofisticato rappresenta una crescente minaccia per diverse organizzazioni globali. Octo Tempest si serve di campagne avanzate di social engineering per infiltrarsi all’interno delle organizzazioni, con l’obiettivo di perpetrare estorsioni finanziarie. Questo gruppo è stato individuato come uno dei più pericolosi attori criminali finanziari, a causa della loro ampia gamma di tattiche e tecniche (TTP).
Le loro abilità includono l’uso di tecniche “Adversary-in-the-middle,” social engineering e SIM swapping. Octo Tempest è emerso per la prima volta all’inizio del 2022, concentrandosi inizialmente sulle organizzazioni di telecomunicazioni mobili e di outsourcing aziendale. Hanno tratto profitto dalle loro intrusioni, vendendo dati rubati e rubando criptovalute dai conti di individui ad alto patrimonio. Nel 2023, il gruppo si è affiliato ad ALPHV/BlackCat, un servizio di ransomware gestito da esseri umani. Le prime vittime sono state costrette a subire il furto di dati, senza la distribuzione del ransomware, utilizzando il sito di fuga di ALPHV Collections. Successivamente, Octo Tempest ha iniziato a distribuire payload di ransomware ALPHV/BlackCat, focalizzandosi sui server VMWare ESXi. Nel frattempo, hanno ampliato i settori di estorsione, includendo risorse naturali, giochi, ospitalità, produzione, diritto, tecnologia e servizi finanziari.
Nelle loro ultime campagne, Octo Tempest ha esteso il proprio raggio d’azione, prendendo di mira un’ampia varietà di settori e utilizzando una vasta gamma di tattiche, tecniche e procedure (TTP) per infiltrarsi in complessi ambienti ibridi. Queste includono il phishing tramite SMS, SIM swapping e sofisticate tecniche di ingegneria sociale.
Octo Tempest solitamente avvia attacchi di social engineering mirati agli amministratori tecnici, compresi gli addetti al supporto e all’help desk, che dispongono di autorizzazioni critiche. Gli attaccanti eseguono ricerche dettagliate sulle organizzazioni, mirando a impersonare le vittime attraverso la riproduzione di dialetti e l’uso di informazioni personali identificabili per convincere gli amministratori tecnici a reimpostare le password e adottare autenticazioni a più fattori (MFA).
Una volta ottenuto l’accesso, Octo Tempest avvia la fase di ricognizione, esaminando l’infrastruttura e cercando costantemente di aumentare i privilegi, fingendosi gli utenti il cui accesso hanno violato.
Microsoft ha condiviso queste informazioni per fornire alle organizzazioni gli strumenti difensivi necessari per proteggersi da questo pericoloso gruppo di criminali informatici altamente motivati finanziariamente.