Octo Tempest: phishing, SIM swapping e ransomware

Octo Tempest: phishing, SIM swapping e ransomware

Microsoft ha descritto tattiche, tecniche e procedure usate dal gruppo Octo Tempest per accedere alle reti aziendali e rubare dati riservati.
Octo Tempest: phishing, SIM swapping e ransomware
Microsoft ha descritto tattiche, tecniche e procedure usate dal gruppo Octo Tempest per accedere alle reti aziendali e rubare dati riservati.

Microsoft ha tracciato le attività di un gruppo, denominato Octo Tempest, che ha colpito diverse aziende con l’obiettivo di estorcere denaro. I cybercriminali, affiliati al gruppo BlackCat (ALPHV), sfruttano varie tecniche per accedere alle reti e installare i malware. L’azienda di Redmond fornisce alcuni suggerimenti per identificare e bloccare gli attacchi.

Phishing, SIM swapping e ransomware

Octo Tempest usa principalmente l’ingegneria sociale per ottenere le credenziali di accesso agli account aziendali. Dopo aver contattato un dipendente, soprattutto gli amministratori IT, i cybercriminali chiedono il cambio delle password o installano un tool di accesso remoto. In altri casi hanno acquistato le credenziali nel dark web, inviato via SMS un link ad un sito di phishing o effettuato un attacco di SIM swapping.

Dopo aver ottenuto l’accesso, Octo Tempest inizia a raccogliere informazioni sulle risorse aziendali (utenti, gruppi, dispositivi, architettura della rete, sistemi di backup, repository di codice, ambienti cloud, server e altre). Usando vari tool viene quindi effettuava una escalation di privilegi per ottenere permessi di amministratore.

Per aggirare le protezioni vengono disattivate le soluzioni di sicurezza e bloccato l’invio di notifiche relative alle modifiche. Per mantenere la persistenza vengono invece manipolati gli account esistenti o installate backdoor. L’ultimo step prevede il furto dei dati la doppia estorsione, ovvero l’installazione di un ransomware (BlackCat) e la richiesta di un riscatto per evitare la divulgazione delle informazioni. In alcuni casi avviene anche il furto delle criptovalute.

Fonte: Microsoft
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
29 ott 2023
Link copiato negli appunti