Octo Tempest - grupa anglojęzycznych cyberprzestępców - wywołuje niepokój wśród osób zajmujących się cyberbezpieczeństwem. To nie tylko zwykła grupa przestępcza: to zorganizowana machina, która wykorzystuje zaawansowane techniki socjotechniczne do wykradania informacji oraz pozyskiwania pieniędzy od swoich ofiar
Grupa zyskała rozgłos przede wszystkim dzięki swoim początkowym atakom polegającym na nielegalnym przejmowaniu numerów telefonów komórkowych poprzez tzw. "SIM swapping." Octo Tempest - wykorzystując tę technikę - podszywali się pod swoje ofiary wykorzystując nierzadko naiwność pracowników telekomów, aby przejąć kontrolę nad numerami telefonów swoich przyszłych ofiar. Jednak wraz z upływem czasu grupa ta ewoluowała i przekształciła się w znacznie bardziej wyrafinowany zespół oszustów.
Jak twierdzi Microsoft, Octo Tempest wygenerowali niemałe zyski z nielegalnych działań, w tym sprzedaży przejętych kart SIM innym przestępcom oraz dokonując ataków na konta zamożnych ofiar pozyskując ich kryptowaluty. Grupa jednak poszerzyła swój profil działalności o atakowanie telekomów, dostawców hostingu, usługodawców poczty elektronicznej i tym podobnych. Co jednak jeszcze bardziej niepokojące, Octo Tempest nawiązało współpracę z inną groźną grupą ransomware o nazwie ALPHV/BlackCat. Ci ostatni są twórcami bardzo popularnego wśród oszustów narzędzia służącego do wyłudzania okupów od ofiar.
Ransomware ALPHV stał się trzecią najczęściej używaną usługą typu ransomware-as-a-service na całym globie. Grupy przestępcze - takie jak ALPHV - ściśle współpracują ze sobą w celu wymuszania okupów lub kradzieży danych. ALPHV dostarcza ransomware, platformę do pozyskiwania okupów oraz strony internetowe w darkwebie, na których publikowane są skradzione dane. Natomiast Octo Tempest - jako sojusznik ALPHV - skupia się na atakach na serwery VMWare ESXi i innych podobne środowiska. Ale - w miarę jak zyskują oni renomę - ich cele stają się coraz bardziej zróżnicowane. W ciągu ostatniego roku zaatakowali firmy związane z ochroną środowiska, grami, hotelarstwem, handlem detalicznym, a także szeroko rozumianą produkcją, usługami prawnymi, IT oraz usługami finansowymi. Co za tym idzie - nikt nie może czuć się w stu procentach bezpiecznie.
To, co sprawia, że Octo Tempest wyróżnia się na tle innych grup przestępczych - to ich szerokie użycie socjotechniki. Ataki socjotechniczne grupy są ukierunkowane na ofiary posiadające wystarczające uprawnienia w atakowanych infrastrukturach. Na przykład - aby zacierać ślady - Octo Tempest atakuje konta pracowników odpowiedzialnych za bezpieczeństwo, co pozwala im wyłączać konkretne zabezpieczenia, czy też zapis aktywności na serwerze. Nie wahają się nawet przed użyciem gróźb, jeżeli ofiary nie będą chciały współpracować.
Unikalną techniką wykorzystywaną przez Octo Tempest jest wykorzystanie platformy Azure Data Factory do przenoszenia pozyskanych danych, co pozwala na bezpieczne "wytransferowanie" ich zewnętrzne serwery i ukrywając je pod płaszczykiem zupełnie typowych operacji z kręgu big-data.
Ponadto grupa Octo Tempest stosuje wiele technik "Living off the land" (LOTL) - tym samym ich wykrycie jest niesamowicie trudne. Wykorzystują przy tej okazji jedynie wyglądające na bezpieczne narzędzia, które przy odpowiednim ich użyciu zyskują złośliwy charakter - na przykład skrypty VB lub PowerShell, które nie są rozpoznawane jako zagrożenie przez pakiety bezpieczeństwa. Co więcej, przestępcy skrzętnie wykorzystują fakt, iż działanie takich plików w systemie Windows jak: CertUtil.exe, MsBuild.exe Powershell.exe, RunDll32.exe i ich odpowiedników w różnych środowiskach nie jest szeroko monitorowane. A to - niestety - poważny błąd.
Wszystko to sprawia, że Octo Tempest to niebezpieczna grupa, która niestety mocno rośnie w siłę. Są bezlitośni i bardzo skuteczni - a w uzasadnionych dla nich przypadkach potrafią użyć także i gróźb użycia przemocy fizycznej i psychicznej. Szantażują swoje ofiary i potrafią grozić upublicznieniem np. kompromitujących zdjęć lub faktów na temat zaatakowanego. Wszystko to powoduje, że pieniądze płyną naprawdę szerokim strumieniem wprost do kieszeni przestępców.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
