Octo Tempest, también conocido como Scattered Spider, vuelve a estar en el punto de mira. Microsoft ha emitido una nueva alerta en la que advierte de la actividad reciente de este grupo, considerado uno de los más peligrosos y sofisticados de la escena actual del cibercrimen.
En los últimos meses, Octo Tempest ha centrado sus ataques en sectores como el retail, la hostelería, las aseguradoras y, más recientemente, las aerolíneas. Su modus operandi sigue un patrón bien definido: se enfoca intensamente en un sector durante varias semanas o meses y luego cambia de objetivo.
Lo que hace especialmente preocupante a Octo Tempest es su combinación de tácticas. El grupo emplea técnicas avanzadas de ingeniería social, como la suplantación de identidad a través de llamadas, emails o mensajes dirigidos a los servicios de soporte técnico de las empresas. También utiliza campañas de phishing por SMS con dominios que imitan a organizaciones legítimas para robar credenciales.
Además, se han detectado herramientas como ngrok, Chisel o AADInternals en sus campañas, utilizadas para mantener el acceso a los entornos comprometidos. En cuanto a sus objetivos, Octo Tempest no solo roba datos: ha desplegado ransomware, concretamente DragonForce, con especial atención a entornos VMware ESX.
Un cambio reciente en su estrategia es significativo: si antes aprovechaban el acceso a entornos cloud para entrar en sistemas locales, ahora atacan infraestructura on-premise desde el inicio, y luego escalan hacia la nube.
Microsoft refuerza la defensa con detección avanzada y respuesta automatizada
Para hacer frente a este tipo de amenazas, Microsoft ha reforzado la protección en todo su ecosistema de seguridad, incluyendo Defender y Sentinel. Estas plataformas permiten detectar y bloquear comportamientos relacionados con Octo Tempest en todas las fases del ataque: desde accesos iniciales hasta el robo de credenciales, movimientos laterales, persistencia o exfiltración de datos.
Una de las herramientas más eficaces en este contexto es la función de “attack disruption”, que permite interrumpir automáticamente un ataque en curso deshabilitando la cuenta comprometida y revocando las sesiones activas, gracias a la correlación de señales entre identidades, dispositivos y comportamientos anómalos.
También destacan las capacidades de investigación proactiva con advanced hunting, que permiten a los equipos de seguridad identificar posibles rutas de ataque, usuarios en riesgo y puntos críticos en la infraestructura antes de que se produzca un incidente.
Ante una amenaza tan compleja, Microsoft recomienda adoptar una estrategia preventiva integral que no sólo refuerce la seguridad de la identidad, sino los endpoints o la seguridad en la nube. Asegurando que anticiparse es la mejor forma de protegerse, recuerda la compañía de Redmond que grupos como Octo Tempest actúan con rapidez y precisión, por lo que contar con sistemas capaces de detectar patrones, bloquear accesos sospechosos y responder automáticamente a incidentes puede marcar la diferencia.
