A gangue do Octo Tempest, que está por trás do ataque de ransomware que paralisou as operações no MGM Resorts, é considerada um dos grupos criminosos financeiros mais perigosos que operam atualmente, disseram pesquisadores da Microsoft. No blog da empresa, os pesquisadores explicaram as táticas usadas pelo grupo, também conhecido como Scattered Spider (aranha dispersa), 0ktapus ou UNC3944.
O grupo está sob os holofotes desde que atacou o MGM Resorts e deixou partes das operações do cassino e hotel em Las Vegas paralisadas por dias e custou à empresa cerca de US$ 100 milhões. A situação se tornou tão terrível que as autoridades federais e a Casa Branca se envolveram no esforço de recuperação.
A Microsoft ecoou as descobertas de outros pesquisadores, descrevendo como o Octo Tempest evoluiu de invasores especializados em engenharia social e troca de chip SIM card de celular para operadores filiados ao ransomware ALPH V/Black Cat.
Os pesquisadores também documentaram a crueldade do grupo durante seus ataques. Os hackers enviaram mensagens de texto ameaçadoras a funcionários de uma empresa não identificada, alegando que compartilhariam informações que poderiam levar um funcionário a ser demitido. Eles também disseram que mandariam alguém para a casa da pessoa com uma arma. Em outras mensagens, os hackers ameaçavam enviar atiradores que atacariam o funcionário e sua esposa.
“Em alguns casos, o Octo Tempest recorre a táticas de terror, visando indivíduos específicos por meio de telefonemas e mensagens. Esses operadores usam informações pessoais, como endereços residenciais e nomes de família, juntamente com ameaças físicas para coagir as vítimas a compartilhar credenciais para acesso corporativo”, explicou a Microsoft.
Como falantes nativos do idioma inglês, a capacidade do grupo de utilizar técnicas de ataque man-in-the-middle — ou adversary-in-the-middle (AiTM), como também são conhecidos —, engenharia social e troca de chip SIM card o diferencia de muitas outras gangues de hackers.
A Microsoft disse que o grupo foi visto inicialmente no começo do ano passado atacando operadoras móveis e empresas de terceirização de processos de negócios (BPO) para realizar trocas de SIM card. Eles foram capazes de monetizar esses ataques vendendo seus SIM swaps para outros hackers e lançando ataques de tomada de conta visando proprietários de criptomoedas.
“No final de 2022 para o início deste ano, a Octo Tempest expandiu a segmentação para incluir operadoras de telecomunicações a cabo, e-mail e tecnologia”, disse a fabricante de software. “Durante esse período, a Octo Tempest começou a monetizar invasões extorquindo organizações vítimas por dados roubados durante suas operações de invasão e, em alguns casos, até mesmo recorrendo a ameaças físicas.”
Em meados deste ano, o grupo se tornou um afiliado da gangue de ransomware ALPHV/Black Cat, que foi responsável por alguns dos ataques mais devastadores já registrados.
Inicialmente, o Octo Tempest não usava o ransomware ALPHV durante os ataques, apenas extorquindo as vítimas por meio de dados que eram roubados e postados no site de vazamento do ALPHV, mas em junho começou a implantá-lo.
De acordo com a Microsoft, a união entre Octo Tempest e ALPHV foi inédita porque as gangues de ransomware do leste europeu normalmente se recusam a fazer negócios com cibercriminosos de língua inglesa.
Veja isso
BlackCat cria API de vazamento em nova tática de extorsão
Ataque man-in-the-middle: sua empresa está preparada?
Os setores visados também se expandiram, agora incluem os setores de recursos naturais, jogos, hospitalidade, produtos de consumo, varejo, provedores de serviços gerenciados, manufatura, direito, tecnologia e serviços financeiros.
Parte do sucesso do grupo gira em torno de ataques que as organizações normalmente não planejam, de acordo com a Microsoft. “A natureza bem organizada e prolífica dos ataques do Octo Tempest é indicativa de extensa profundidade técnica e múltiplos operadores práticos no teclado”, disseram os pesquisadores.
Segundo eles, o Octo Tempest geralmente lança ataques de engenharia social visando administradores técnicos, como pessoal de suporte e suporte técnico, que têm permissões que podem permitir que o agente da ameaça obtenha acesso inicial às contas. Os hackers pesquisam as organizações que atacam e identificam os principais alvos que podem ser personificados em chamadas telefônicas para help desk de TI.
Usando informações pessoais, eles são capazes de se assemelhar aos funcionários e convencer os administradores a redefinir senhas ou métodos de autenticação multifator (MFA). Em alguns casos, os hackers supostamente eram novos funcionários, misturando-se ao processo de integração.
O relatório da Microsoft se soma a um conjunto de pesquisas sobre o grupo desde que o ataque ao MGM Resorts causou problemas significativos em vários hotéis em Las Vegas.