Microsoft ha recentemente pubblicato un profilo dettagliato su Octo Tempest, un attore minaccioso di lingua inglese con avanzate capacità di ingegneria sociale. Questo gruppo mira alle aziende con attacchi di estorsione di dati e ransomware, dimostrandosi come uno dei gruppi di hacking finanziario più pericolosi.
Dall’usurpazione di account al ransomware
Inizialmente, Octo Tempest era noto per vendere SIM swaps e rubare account di individui di alto profilo con asset in criptovaluta. Tuttavia, nel 2022, hanno ampliato il loro raggio d’azione, passando al phishing, all’ingegneria sociale, al reset massivo delle password e al furto di dati. Quest’anno, hanno attaccato aziende nei settori del gioco, dell’ospitalità, del retail, della manifattura, della tecnologia e della finanza. Dopo essersi affiliati con ALPHV/BlackCat, hanno iniziato a utilizzare il ransomware sia per rubare che per cifrare i dati delle vittime.
Metodologie di attacco
Octo Tempest è un gruppo ben organizzato con membri dotati di vasta conoscenza tecnica. Spesso ottengono l’accesso iniziale attraverso avanzate tecniche di ingegneria sociale, mirando agli account degli amministratori tecnici. Utilizzano vari metodi per ottenere l’accesso, tra cui il phishing, l’acquisto di credenziali da altri cybercriminali, il phishing via SMS e le minacce dirette di violenza. Una volta ottenuto l’accesso, iniziano la fase di ricognizione, esplorando l’infrastruttura e cercando di escalare i privilegi attraverso l’ingegneria sociale.
Strumenti e tecniche
Octo Tempest utilizza una serie di strumenti open-source come ScreenConnect, AnyDesk, RustDesk e altri. Utilizzano anche macchine virtuali Azure per abilitare l’accesso remoto e trasferiscono dati rubati ai loro server utilizzando tecniche uniche, come Azure Data Factory. Per esportare librerie di documenti SharePoint e trasferire i file più rapidamente, spesso registrano soluzioni legittime di backup Microsoft 365 come Veeam, AFI Backup e CommVault. Octo Tempest è motivato finanziariamente e raggiunge i suoi obiettivi attraverso il furto di criptovalute, l’estorsione di dati rubati o cifrando i sistemi e chiedendo un riscatto.