Cada cierto tiempo surgen nuevos actores de amenazas y los investigadores de seguridad los vigilan de cerca para entender exactamente quiénes son y cuál es su modus operandi.
En esta ocasión ha sido Microsoft quien ha seguido la pista a un grupo de piratas informáticos llamado Octo Tempest.
Según tiene constancia la compañía de Redmond, comenzaron a operar a principios del año pasado. Sus objetivos han ido evolucionando a organizaciones que brindan telecomunicaciones por cable, email y servicios tecnológicos.
En origen pudo observarse que este actor de amenazas vendía intercambios SIM y robaba cuentas de individuos con perfiles altos que almacenaban importantes activos de criptomonedas.
A finales de 2022, los ciberdelincuentes se movieron al phishing, la ingeniería social y el restablecimiento masivo de contraseñas para los clientes de proveedores de servicios vulnerados y el robo de datos.
Durante este 2023, la pandilla ha seguido evolucionando. Han pasado a atacar a compañías de sectores como el juego, la hostelería, el comercio minorista, la fabricación, la tecnología y las finanzas, así como a los proveedores de servicios gestionados. (MSP).
Hace unos meses Octo Tempest se asoció con el temible grupo de ransomware ALPHV (o BlackCat), convirtiéndose en su afiliado. Así pudo abrirse a las extorsiones y aprovechar su experiencia para crear ataques más avanzados y agresivos.
Según señala Microsoft, estos piratas han llegado a usar amenazas físicas directas en ciertos casos para obtener inicios de sesión que avanzarían en sus ataques.
Esta 'asociación' con BlackCat no deja de ser curiosa, porque "históricamente, los grupos de ransomware de Europa del Este se habían negado a hacer negocios con delincuentes nativos de habla inglesa" como es este caso.
La empresa fundada por Bill Gates cree que Octo Tempest es un grupo bastante bien organizado que incluiría a miembros con extensos conocimientos técnicos.
Es común que el grupo lleve a cabo ataques de ingeniería social avanzada, apuntando a cuentas de administradores técnicos que disponen de permisos que les interesan a los cibermalos.
Además, investigan concienzudamente a las empresas para encontrar los objetivos más interesantes. Su nivel de personificación es tan alto que pueden imitar los patrones de habla de un individuo mediante una llamada. Es otro método para engañar a los administradores y que estos hagan restablecimientos de contraseñas.
Sin embargo, también usan otros métodos, como el desvío de llamadas, las amenazas directas con violencia, la compra de credenciales o tokens de sesión de otros delincuentes, engañar a los objetivos para que instalen software de gestión y supervisión remota, apuntar a empleados con phishing dirigido a portales de inicio de sesión falsos que capturan las credenciales, etc.
No se conforman con eso
Una vez que han conseguido acceso Octo Tempest comienza la etapa del reconocimiento para abusar de canales legítimos y avanzar en la intrusión.
En esta etapa los piratas informáticos generan confianza en la víctima utilizando cuentas comprometidas y demostrando comprensión de los procedimientos de la empresa. Si tienen una cuenta de administrador, ellos mismos aprueban las solicitudes de permisos aumentados.
Mientras mantienen este acceso, siguen vampirizando a la organización para buscar nuevas credenciales que amplíen su alcance.
Además, el grupo suele apuntar a las cuentas del personal de seguridad de las organizaciones, para poder así desactivar herramientas y funcionalidades de protección.
Microsoft revela que Octo Tempest intenta ocultar su presencia en la red suprimiendo alertas de cambios y modificando las reglas del buzón para eliminar aquellos emails que podrían despertar sospechas de una infracción en la víctima.
Esta pandilla de cibercriminales sí que persigue fines financieros y suele lograr sus objetivos robando criptomonedas, haciendo extorsión por robo de datos o encriptando sistemas y pidiendo un rescate para su descifrado.