A Microsoft divulgou um perfil detalhado de um ator de ameaças, conhecido como Octo Tempest, que fala inglês nativo e possui avançadas habilidades de engenharia social, cujas atividades são voltadas para empresas em ataques de extorsão de dados e ransomware.
Os ataques do Octo Tempest têm evoluído constantemente desde o início de 2022, expandindo seus alvos para organizações que fornecem telecomunicações a cabo, emails e serviços de tecnologia, e formando parceria com o grupo de ransomware ALPHV/BlackCat.
O ator de ameaças foi inicialmente observado vendendo trocas de SIM e roubando contas de indivíduos de alto perfil com ativos de criptomoeda.
No final de 2022, o Octo Tempest passou a executar ataques de phishing, engenharia social, redefinindo senhas em massa para os clientes de provedores de serviço violados, e roubo de dados.
No início deste ano, o grupo de ameaças atacou empresas dos setores de jogos, hospitalidade, varejo, manufatura, tecnologia e finanças, bem como provedores de serviços gerenciados (MSPs).
Depois de se tornar um filiado do ALPHV/BlackCat, o Octo Tempest empregou o ransomware tanto para roubar quanto para criptografar dados das vítimas.
O grupo utilizou sua experiência acumulada para desenvolver ataques mais avançados e agressivos, e também começou a monetizar as invasões, extorquindo as vítimas após o roubo de dados.
A Microsoft afirma que o Octo Tempest também utilizou ameaças físicas diretas em alguns casos para obter logins que avançariam em seus ataques.
Em uma reviravolta inesperada, o Octo Tempest se tornou um afiliado da operação de ransomware como serviço (RaaS) do ALPHV/BlackCat, e em junho eles começaram a implantar payloads de ransomware para Windows e Linux, concentrando-se recentemente nos servidores VMware ESXi.
Os ataques mais recentes deste grupo têm como alvo organizações de vários setores, incluindo jogos, recursos naturais, hospitalidade, produtos de consumo, varejo, provedores de serviços gerenciados, manufatura, direito, tecnologia e serviços financeiros.
A Microsoft avalia que o Octo Tempest é um grupo bem organizado que inclui membros com vasto conhecimento técnico e vários operadores de entrada de teclado.
Os hackers frequentemente obtêm acesso inicial através de engenharia social avançada que mira contas de administradores técnicos (por exemplo, equipe de suporte e helpdesk) com permissões suficientes para avançar no ataque.
Eles pesquisam a empresa para identificar os alvos que podem se passar pelos usuários, ao ponto de imitar os padrões de fala do indivíduo em chamadas telefônicas.
Dessa forma, eles enganam os administradores técnicos a realizar redefinições de senha e redefinir métodos de autenticação de múltiplos fatores (MFA).
Outros métodos para acesso inicial incluem:
enganar o alvo a instalar software de monitoramento e gerenciamento remoto
roubar os logins por meio de sites de phishing
comprar credenciais ou tokens de sessão de outros cibercriminosos
phishing por SMS empregados com links para portais de login falsos que capturam as credenciais
troca de SIM ou reencaminhamento de chamadas
Ameaças diretas de violência
Uma vez que obtêm acesso suficiente, os hackers do Octo Tempest iniciam a etapa de reconhecimento do ataque enumerando hosts e serviços e coletando informações que permitiriam o abuso de canais legítimos para progredir na invasão.
O Octo Tempest então procede para explorar a infraestrutura, enumerando acesso e recursos em ambientes de nuvem, repositórios de código, sistemas de gerenciamento de servidores e backup.
Para escalar privilégios, o ator de ameaças volta-se novamente para a engenharia social, troca de SIM ou reencaminhamento de chamadas, e inicia uma redefinição de senha de autoatendimento da conta do alvo.
Durante esta etapa, os hackers constroem confiança com a vítima usando contas comprometidas e demonstrando entendimento dos procedimentos da empresa.
Se eles tiverem a conta de um gerente, eles próprios aprovam solicitações para aumentar permissões.
Enquanto tiverem acesso, o Octo Tempest continua procurando por credenciais adicionais para expandir seu alcance.
Eles usam ferramentas como Jercretz e TruffleHog para automatizar a busca por chaves, segredos e senhas em texto simples em repositórios de código.
Para manter seus rastros ocultos, os hackers também visam as contas de pessoal de segurança, o que lhes permite desabilitar produtos e recursos de segurança.
De acordo com a Microsoft, o Octo Tempest tenta esconder sua presença na rede suprimindo alertas de mudanças e modificando as regras de caixa de correio para excluir emails que poderiam aumentar as suspeitas da vítima de uma violação.
Os pesquisadores fornecem as seguintes ferramentas e técnicas adicionais que o Octo Tempest usa em seus ataques:
ferramentas de código aberto: ScreenConnect, FleetDeck, AnyDesk, RustDesk, Splashtop, Pulseway, TightVNC, LummaC2, Level[.]io, Mesh, TacticalRMM, Tailscale, Ngrok, WsTunnel, Rsocx, e Socat
implantando máquinas virtuais Azure para permitir acesso remoto via instalação RMM ou modificação de recursos existentes via console serial Azure
adicionando métodos MFA aos usuários existentes
usando a ferramenta de tunelamento Twingate, que aproveita as instâncias do Azure Container como um conector privado (sem exposição à rede pública)
Os hackers também movem os dados roubados para seus servidores usando uma técnica única, que envolve o Azure Data Factory e pipelines automatizados para se misturar às operações típicas de big data.
Para exportar as bibliotecas de documentos do SharePoint e transferir os arquivos mais rapidamente, o invasor tem sido frequentemente observado registrando soluções legítimas de backup do Microsoft 365, como Veeam, AFI Backup e CommVault.
A Microsoft observa que detectar ou procurar este ator de ameaça em um ambiente não é uma tarefa fácil devido ao uso de engenharia social, técnicas de living-off-the-land e a diversidade de ferramentas.
No entanto, os pesquisadores fornecem um conjunto de diretrizes gerais que podem ajudar a detectar atividades maliciosas, que começam com o monitoramento e a revisão de processos relacionados à identidade, ambientes Azure e endpoints.
Octo Tempest é motivado financeiramente e alcança seus objetivos através do roubo de criptomoedas, extorsão de roubo de dados ou criptografando sistemas e pedindo resgate.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...