Recientemente, Microsoft ha hecho público los resultados de su seguimiento a la actividad de un grupo cibercriminal emergente denominado Octo Tempest, una organización enfocada en la extorsión financiera, pero que ya ha causado estragos a compañías a nivel global, y que tiene lazos con los responsables de los recientes (y de gran impacto económico) ciberataques simultáneos contra varios casinos de Las Vegas.
Los Octo Tempest no acaban de aparecer de la nada en el mundo del ciberdelito: tras dedicarse mayoritariamente a la duplicación de SIMs desde principios de 2022, desde finales de ese mismo año este grupo ha demostrado una habilidad notable emprendiendo campañas de robo de cuentas y phishing.
De hecho, lo que ha provocado que Octo Tempest destaque frente a otros grupos cibercriminales es su capacidad para utilizar tácticas avanzadas de ingeniería social.
Para ello, se centran en administradores de sistemas, imitando patrones de habla y engañando al personal para que reinicie contraseñas o métodos de autenticación multifactorial (MFA). Una vez que logran el acceso necesario, llevan a cabo extensas búsquedas y recopilan información crucial para avanzar en sus ataques.
Otros métodos para el acceso inicial incluyen:
- engañar al objetivo para que instale software de gestión y supervisión remota.
- robar los inicios de sesión a través de sitios de phishing.
- comprar credenciales o tokens de sesión de otros ciberdelincuentes.
- campañas de phishing a empleados, usando links a webs maliciosas que capturan las credenciales.
Pero no sólo recurren a su maña técnica y 'social': Octo Tempest ha cruzado los límites al emplear amenazas físicas directas. Microsoft ha compartido capturas de pantalla que muestran cómo los miembros del grupo amenazan con ejercer violencia extrema, incluyendo el asesinato de seres queridos de las víctimas, para obtener los inicios de sesión que requieren para sus ataques.
Imagen | Microsoft
Algunos ejemplos de esta táctica:
"Envía tu inicio de sesión y todo desaparecerá […] Eliminaremos tu información una vez tengamos lo que necesitamos [...] o puedes recibir un disparo en tu casa […] tú eliges".
"Si no conseguimos tu inicio de sesión en los próximos 20 minutos, enviaremos un tirador a su casa [...] y le disparará a tu mujer".
No se tiene noticia de que dichas amenazas se hayan traducido en ataques, ni hay nada que sugiera que de verdad cuentan con el personal o la intención de llevarlos a cabo (recordemos que en España se han dado varias ciberestafas basadas también en falsas amenazas de violencia); la táctica, en cualquier caso, les sirve a veces para llegar allí donde la mera manipulación no sirve.
Alianza con ALPHV/BlackCat
Un aspecto que ha sorprendido a los expertos en ciberseguridad (aunque muchos legos en la materia no verán nada de raro) es que Octo Tempest, aparentemente conformado por hackers anglohablantes, se ha aliado con el grupo de ransomware ruso ALPHV/BlackCat, y juntos han difundido distintas clases de esta categoría de malware, dirigidas contra sistemas tanto Windows como Linux.
Esta colaboración es significativa porque, históricamente, los grupos de ransomware de Europa del Este han rechazado las colaboraciones con sus 'colegas' de habla inglesa.
Vía | Microsoft
Imagen | Marcos Merino mediante IA
