Alerta de araña dispersa de Microsoft: Alerta de ransomware
En el mundo de la ciberdelincuencia, en constante evolución, está surgiendo un adversario formidable: Octo Tempest, un grupo de hackers nativos de habla inglesa que han pasado del intercambio de SIM y el fraude con criptomonedas a un juego más siniestro, la extorsión cibernética. Su rápido ascenso ha llamado la atención de los expertos en ciberseguridad, incluidos los de Microsoft, que han seguido de cerca sus actividades. En este blog, profundizaremos en la aparición de la advertencia de araña dispersa de Microsoft y la evolución de Octo Tempest, su asociación con la operación de ransomware ALPHV/BlackCat, sus sofisticadas tácticas y los sectores a los que se dirige.
La génesis de Octo Tempest
Hace unos 18 meses, Octo Tempest se hizo un hueco en el submundo cibernético. Inicialmente, sus exploits se centraban en el intercambio de SIM y el secuestro de cuentas de criptomonedas. A principios de 2023, habían ampliado sus horizontes, poniendo sus miras en organizaciones más grandes, incluidas destacadas empresas tecnológicas. Su modus operandi era sencillo pero devastador: robar datos y pedir rescate por ellos.
Aviso de araña dispersa de Microsoft: Una afiliación peligrosa
El punto de inflexión llegó a mediados de 2023, cuando Octo Tempest estableció una alianza impía con la infame operación de ransomware como servicio ALPHV/BlackCat. Esta alianza les permitió acceder al sitio de filtraciones de la web oscura mantenido por la banda del ransomware. Según la alerta Alerta de araña dispersa de Microsoftesta colaboración marcó un cambio significativo en la historia de Octo Tempest.
Una amplia gama de objetivos
Octo Tempest no se limitó a atacar empresas tecnológicas. Progresivamente ampliaron su alcance para incluir diversas industrias, como recursos naturales, juegos, hostelería, productos de consumo, venta al por menor, proveedores de servicios gestionados, fabricación, derecho, tecnología y servicios financieros. Su alcance no tiene límites.
Conexiones inciertas
La advertencia de araña de Microsoft sugiere que Octo Tempest puede tener conexiones con el UNC3944 (también conocido como Scattered Spider o 0ktapus). Dada su afiliación con ALPHV/BlackCat, es razonable sospechar que podrían haber desempeñado un papel en los atracos a casinos de Las Vegas de septiembre de 2023 y en otros ataques a Okta, especialista en gestión de identidades y accesos (IAM). Sin embargo, no hay pruebas concretas que los vinculen a los ataques en curso contra empresas de ciberseguridad como 1Password, BeyondTrust y Cloudflare.
Competencia técnica de Octo Tempest
Octo Tempest no es un grupo de piratas informáticos al uso. La investigación de Microsoft destaca su destreza técnica y su enfoque organizado. Emplean una amplia gama de tácticas, técnicas y procedimientos (TTP) para lograr sus objetivos.
La ingeniería social en primera línea
Una de las técnicas más destacadas de Octo Tempest es la ingeniería social, especialmente dirigida al personal de soporte informático y de asistencia. Profundizan en los antecedentes de sus víctimas, adaptando sus ataques para explotar información personal. En algunos casos, han llegado a imitar la forma de hablar de la víctima en las llamadas telefónicas.
Tácticas de alarmismo
Octo Tempest no duda en emplear tácticas de alarmismo. Microsoft compartió capturas de pantalla de un miembro de la banda amenazando a la familia de una víctima, lo que subraya la gravedad de sus amenazas.
Escalada de privilegios
Con frecuencia, escalan sus privilegios mediante el intercambio de SIM o haciéndose con los números de teléfono de los empleados para iniciar restablecimientos de contraseñas de autoservicio. La ingeniería social del servicio de asistencia para restablecer las contraseñas de administrador es otra vía que utilizan.
Acciones en el entorno de las víctimas
Una vez dentro del entorno de la víctima, Octo Tempest es implacable. Llevan a cabo acciones como la exportación masiva de información de usuarios, grupos y dispositivos. Enumeran los datos y recursos disponibles para el perfil del usuario comprometido.
Su curiosidad se extiende a la arquitectura de red, la incorporación de empleados, los métodos de acceso remoto, las políticas de credenciales y los almacenes. Los entornos multicloud, los repositorios de código, el servidor y la infraestructura de gestión de copias de seguridad también están en su radar.
Evadir la detección
Octo Tempest evade hábilmente la detección desactivando productos y funciones de seguridad y aprovechando herramientas de seguridad disponibles públicamente. Garantizan la persistencia en los puntos finales mediante herramientas de supervisión y gestión remotas (RMM).
En última instancia, el objetivo de Octo Tempest es robar datos y desplegar ransomwarenormalmente utilizando una variante del casillero ALPHV/BlackCat. Los datos que roban dependen de su nivel de acceso y capacidad.
Comprender las técnicas de araña dispersa de Microsoft
Uno de los aspectos más intrigantes de las operaciones de Octo Tempest es su uso de la plataforma Azure Data Factory y los procesos automatizados para filtrar datos a sus propios servidores SFTP (Secure File Transfer Protocol). Este enfoque les permite camuflar sus actividades como operaciones legítimas de big data. También se les ha observado registrando soluciones de copia de seguridad legítimas de Microsoft 365, como CommVault y Veeam, para agilizar la exfiltración de bibliotecas de documentos de SharePoint.
Cómo lidiar con la advertencia de araña de Microsoft
Desenmascarar a Octo Tempest resulta ser un reto formidable para los defensores de la ciberseguridad. El uso que hacen de la ingeniería social, las técnicas de supervivencia y una serie de herramientas diversas los convierten en adversarios escurridizos. Aunque información técnica detallada sobre estas técnicas está disponible en Microsoft, he aquí algunas directrices generales para los defensores:
- Supervisión vigilante: Supervise constantemente el tráfico de red, el comportamiento de los usuarios y la actividad del sistema para detectar patrones inusuales y anomalías.
- Autenticación de usuarios: Implanta la autenticación multifactor para fortificar las cuentas de usuario y evitar accesos no autorizados.
- Formación en seguridad: Forme a los empleados para que reconozcan los intentos de ingeniería social y los ataques de phishing, haciéndoles menos susceptibles de ser manipulados.
- Gestión de parches: Mantenga el software y los sistemas actualizados con los últimos parches de seguridad para cerrar vulnerabilidades.
- Plan de respuesta a incidentes: Desarrolle un sólido plan de respuesta a incidentes para reaccionar con rapidez en caso de infracción, minimizando los daños potenciales.
- Inteligencia colaborativa: Colaborar con las fuerzas del orden, las organizaciones de inteligencia sobre amenazas y las comunidades de ciberseguridad para compartir información y mejorar el conocimiento de las amenazas.
- Mejora continua: Evalúe y mejore periódicamente las medidas de seguridad para ir un paso por delante de las amenazas cambiantes.
Conclusión
En conclusión, el rápido ascenso y las sofisticadas tácticas de Octo Tempest suponen un grave desafío para las organizaciones y los expertos en ciberseguridad. A medida que continúan evolucionando, hay que mantenerse informado, vigilante y proactivo contra implicaciones de Microsoft Spider Warning es crucial para defenderse de sus amenazas. Con un compromiso con estos principios y un esfuerzo de colaboración para compartir conocimientos y experiencia, la comunidad de ciberseguridad puede trabajar unida para mitigar los riesgos que plantea este peligroso grupo de ciberdelincuentes.
Las fuentes de este artículo incluyen artículos en The Hacker News y Computer Weekly.