Gang rodzimych anglojęzycznych cyberprzestępców, którzy rozpoczęli karierę jako inżynierowie socjologiczni wspierając tak zwane ataki polegające na wymianie karty SIM i oszustwach związanych z kryptowalutami, a następnie przeszli na stronę wymuszenia cybernetycznego, szybko staje się jedną z najniebezpieczniejszych cyberprzestępstw motywowanych finansowo Jak wynika z informacji o gangu, grupy działające dzisiaj opublikowane przez badaczy Microsoftu.
Operacja Octo Tempest pojawiła się około 18 miesięcy temu i odniosła pewien sukces w zarabianiu na początkowych włamaniach, sprzedając karty SIM innym podmiotom i przejmując konta kryptograficzne zamożnych osób. Na początku 2023 r. gang zaczął atakować większe organizacje, w tym firmy technologiczne, kradnąc dane i żądając za nie okupu.
Jednak dopiero od połowy 2023 r. ugrupowanie to stało się jeszcze większym zagrożeniem, kiedy stało się członkiem osławionego rosyjskojęzycznego koncernu ALPHV/Czarnykat ransomware jako usługa (RaaS) i zaczął wykorzystywać witrynę wycieków z ciemnej sieci, należącą do ekipy ransomware. To, zdaniem zespołu badawczego Microsoftu, był szczególnie znaczący moment w jego historii.
„Historycznie rzecz biorąc, grupy oprogramowania ransomware z Europy Wschodniej odmawiały współpracy z rodzimymi anglojęzycznymi przestępcami” – stwierdził Microsoft. „[But] W czerwcu 2023 r. Octo Tempest rozpoczął wdrażanie oprogramowania ransomware ALPHV/BlackCat (zarówno w wersji dla systemu Windows, jak i Linux) wśród ofiar, a ostatnio skupił się na wdrożeniach głównie na serwerach VMWare ESXi.
„Octo Tempest stopniowo poszerzał zakres branż będących celem wymuszeń, w tym zasoby naturalne, gry, hotelarstwo, produkty konsumenckie, handel detaliczny, dostawców usług zarządzanych, produkcję, prawo, technologię i usługi finansowe” – stwierdził zespół.
Microsoft stwierdził, że Octo Tempest prawdopodobnie pokrywa się z UNC3944 (aka Rozproszony Pająk, 0ktapus) kolektywu i chociaż Microsoft sam tego nie powiedział, biorąc pod uwagę powiązania gangu z ALPHV/BlackCat, można z pewnym stopniem pewności ocenić, że Octo Tempest może mieć jakieś powiązania z napady na kasyno w Las Vegas we wrześniu 2023 ri różne inne przeprowadzone ataki poprzez systemy zarządzania tożsamością i dostępem (IAM) specjalista Okta.
Nie ma jednak udowodnionego powiązania sugerującego, że miało to cokolwiek wspólnego z wciąż rozwijającą się serią ataków na inne firmy zajmujące się bezpieczeństwem cybernetycznym, które były klientami Okty – te ataki na 1Hasło, BeyondTrust i Cloudflare w chwili pisania tego tekstu nie przypisano go żadnemu konkretnemu podmiotowi zagrażającemu.
Sprawny technicznie gang
Microsoft stwierdził, że ataki Octo Tempest były częste i dobrze zorganizowane, co świadczyło o rozległej wiedzy technicznej i dużej liczbie operatorów korzystających z klawiatury, którzy wykonywali swoją brudną robotę. Wykorzystuje szeroką i rosnącą liczbę taktyk, technik i procedur (TTP).
Spośród tych TTP kilka szczególnie się wyróżnia. Gang szczególnie lubi ataki socjotechniczne wymierzone w dział wsparcia IT i pracowników działu pomocy technicznej w celu wykorzystania ich zwiększonych poziomów uprawnień. Intensywnie badają takie ofiary, aby zidentyfikować i dostosować ataki do celów, wykorzystując dane osobowe do oszukania ich, a nawet posuwając się tak daleko, że naśladują idiolekt podczas rozmów telefonicznych z nimi.
W niektórych przypadkach uciekają się także do szczególnie agresywnych taktyk siania strachu. Na zrzutach ekranu udostępnionych przez Microsoft członek gangu groził rodzinie jednej ofiary. „Jeśli nie dostaniemy twojego [redacted] zaloguj się w ciągu najbliższych 20 minut [sic] wysyłamy strzelca do twojego domu” – powiedzieli. „Twoja żona zostanie postrzelona, jeśli tego nie zrobisz [sic] złóż to [redacted].”
Często też eskalują swoje przywileje poprzez tradycyjną wymianę kart SIM i przejmowanie numerów telefonów pracowników w celu zainicjowania samoobsługowego resetowania haseł lub inżynierię społeczną centrum pomocy w celu resetowania haseł administratorów.
Po wejściu do środowiska ofiary gang wykonuje różne działania, w tym masowy eksport użytkowników, grup i informacji o urządzeniach oraz wyliczanie danych i zasobów dostępnych w profilu zaatakowanego użytkownika. Wyliczają także dane związane z architekturą sieci, wdrażaniem pracowników, metodami dostępu zdalnego oraz zasadami poświadczeń i skarbcami, a także starają się usprawnić ich dostęp między innymi poprzez środowiska wielochmurowe, repozytoria kodów, infrastrukturę zarządzania serwerami i kopiami zapasowymi.
Ponadto gang stara się wykorzystać swoje przywileje, aby wyłączyć produkty i funkcje zabezpieczające oraz uniknąć wykrycia, a także wykorzystuje publicznie dostępne narzędzia bezpieczeństwa w celu ustalenia trwałości. Aby zachować trwałość, na punktach końcowych korzystają z szerokiej gamy narzędzi do zdalnego monitorowania i zarządzania (RMM).
Ostatecznym celem tego wszystkiego jest oczywiście kradzież danych, wymuszenie i wdrożenie oprogramowania ransomware przy użyciu wariantu szafki ALPHV/BlackCat i podobnie jak w przypadku większości innych gangów zajmujących się oprogramowaniem ransomware, dane, które kradnie, zazwyczaj zależą od tego, do czego jest w stanie uzyskać dostęp .
Octo Tempest stosuje jednak technikę, jakiej nigdy wcześniej nie widziano, wykorzystując platformę Azure Data Factory i zautomatyzowaną platformę do eksfiltracji danych swoich ofiar na ich własne serwery protokołu SFTP (Secure File Transfer Protocol), co według Microsoftu ma na celu wtapiać się w legalne operacje na dużych zbiorach danych. Zaobserwowano także, jak rejestrowali legalne rozwiązania do tworzenia kopii zapasowych Microsoft 365, w tym CommVault i Veeam, w celu eksportowania bibliotek dokumentów SharePoint i przyspieszania procesu eksfiltracji.
Polowanie na Octo Tempesta to wyzwanie dla obrońców
Microsoft stwierdził, że polowanie na nie jest szczególnie trudne ze względu na wykorzystywanie przez gang technik takich jak inżynieria społeczna, życie poza ziemią i różnorodny zestaw narzędzi.
Istnieje jednak szereg ogólnych wskazówek, z których mogą skorzystać obrońcy, próbując ujawnić swoją działalność, w połączeniu z solidnym eliminowaniem konfliktów z legalnymi użytkownikami. Firma Microsoft udostępnia szereg bardziej szczegółowych informacji technicznych na temat tych technik.
