Por: Equipo de investigación de seguridad de Microsoft Defender.
En las últimas semanas, Microsoft ha observado que Octo Tempest, también conocida como Scatter Spider, afecta al sector de las aerolíneas, tras la actividad anterior que afectó al comercio minorista, los servicios de alimentación, las organizaciones de hostelería y los seguros entre abril y julio de 2025. Esto se alinea con los patrones típicos de Octo Tempest de concentrarse en una industria durante varias semanas o meses antes de pasar a nuevos objetivos. Los productos de seguridad de Microsoft siguen con la actualización de la cobertura de protección a medida que se producen estos cambios.
Para ayudar a proteger e informar a los clientes, en este blog se destaca la cobertura de protección en todo el ecosistema de seguridad de Microsoft Defender y Microsoft Sentinel, y se proporcionan recomendaciones de refuerzo de la posición de seguridad para protegerse contra actores de amenazas como Octo Tempest.
Adelántense a los actores de amenazas con soluciones de seguridad integradas de Microsoft Defender
Resumen de Octo Tempest
Octo Tempest, también conocido en la industria como Scatter Spider, Muddled Libra, UNC3944 o 0ktapus, es un grupo de ciberdelincuentes motivado a nivel financiero que se ha observado que afecta a las organizaciones a través de la utilización de diversos métodos en sus ataques de extremo a extremo. Su enfoque incluye:
- Obtener acceso inicial mediante ataques de ingeniería social y hacerse pasar por un usuario y ponerse en contacto con el servicio de asistencia a través de llamadas telefónicas, correos electrónicos y mensajes.
- Phishing basado en el servicio de mensajes cortos (SMS, por sus siglas en inglés) que utiliza dominios de adversario en el medio (AiTM, por sus siglas en inglés) que imitan a organizaciones legítimas.
- Uso de herramientas como ngrok, Chisel y AADInternals.
- Impactar las infraestructuras de identidad híbrida y exfiltrar datos para respaldar operaciones de extorsión o ransomware.
La actividad reciente muestra que Octo Tempest ha implementado el ransomware DragonForce con un enfoque particular en los entornos de hipervisor VMWare ESX. A diferencia de los patrones anteriores en los que Octo Tempest usaba privilegios de identidad en la nube para el acceso local, las actividades recientes han implicado afectar tanto a las cuentas locales como a la infraestructura en la etapa inicial de una intrusión antes de la transición al acceso a la nube.
Cobertura de detección de Octo Tempest
Microsoft Defender tiene una amplia gama de detecciones para detectar actividades relacionadas con Octo Tempest y más. Estas detecciones abarcan todas las áreas de la cartera de seguridad, incluidos los endpoints, las identidades, las aplicaciones de software como servicio (SaaS, por sus siglas en inglés), las herramientas de correo electrónico y colaboración, las cargas de trabajo en la nube, etc., para proporcionar una cobertura de protección completa. A continuación se muestra una lista de tácticas, técnicas y procedimientos (TTP) conocidos de Octo Tempest observados en cadenas de ataque recientes asignadas a la cobertura de detección.
| Táctica | Técnica | Cobertura de protección de Microsoft (lista no exhaustiva) |
| Acceso inicial | Iniciar el restablecimiento de contraseña en las credenciales del destino | Restablecimiento de contraseña de usuario inusual en su máquina virtual; (MDC) |
| Descubrimiento | Reconocimiento ambiental continuo | Volcado de credenciales sospechoso de NTDS.dit; (MDE) Reconocimiento de enumeración de cuentas; (MDI) Reconocimiento de mapeo de red (DNS); (MDI) Reconocimiento de usuarios y direcciones IP (SMB); (MDI) Reconocimiento de pertenencia de usuarios y grupos (SAMR); (MDI) Reconocimiento de atributos de Active Directory (LDAP); (MDI) |
| Acceso a credenciales, movimiento lateral | Identificación de activos de nivel 0 | Herramienta de robo de credenciales Mimikatz; (MDE) ADExplorer que recopila información de Active Directory; (MDE) Reconocimiento de entidades de seguridad (LDAP); (MDI) Se ha detectado una asignación de roles de Azure sospechosa; (MDC) Operación sospechosa de acceso elevado; (MDC) Dominio sospechoso agregado al ID de Microsoft Entra; (MDA) Modificación sospechosa de la confianza del dominio tras un inicio de sesión arriesgado; (MDA) |
| Recopilación de credenciales adicionales | Sospecha de ataque DCSync (replicación de servicios de directorio); (MDI) Sospecha de lectura de clave DKM de AD FS; (MDI) | |
| Acceso a entornos empresariales con VPN e implementación de máquinas virtuales con herramientas para mantener el acceso en entornos comprometidos | Se evitó el hacktool ‘Ngrok’; (MDE) Se evitó el hacktool ‘Chisel’; (MDE) Posible uso malintencionado de proxy o herramienta de tunelización; (MDE) Posible dispositivo relacionado con Octo Tempest registrado (MDA) | |
| Evasión de la defensa, persistencia | Aprovechar la EDR y las herramientas de gestión | Actividad de manipulación típica de los ataques de ransomware; (MDE) |
| Persistencia, Ejecución | Instalación de una puerta trasera de confianza | Puerta trasera persistente de ADFS; (MDE) |
| Acciones sobre objetivos | Preparación y exfiltración de datos robados | Posible exfiltración de datos archivados; (MDE) Exfiltración de datos a través de SMB; (MDI) |
| Implementación de ransomware | Se evitó el ransomware ‘DragonForce’; (MDE) Posible actividad previa al rescate con las manos en el teclado; (MDE) |
Nota: La lista no es exhaustiva. Pueden encontrar una lista completa de las detecciones disponibles en el portal de Microsoft Defender.
Interrupción de los ataques de Octo Tempest
Interrumpan los ataques en curso con la interrupción automática de ataques: la interrupción de ataques es la capacidad de autodefensa integrada y única de Microsoft Defender que consume señales de varios dominios, la inteligencia de amenazas más reciente y modelos de aprendizaje automático impulsados por IA para predecir e interrumpir de manera automática el próximo movimiento de un atacante al contener el activo comprometido (usuario, dispositivo). Esta tecnología usa varios indicadores y comportamientos posibles, incluidas todas las detecciones enumeradas con anterioridad, los posibles intentos de inicio de sesión de Microsoft Entra ID, las posibles actividades de inicio de sesión relacionadas con Octo Tempest, y las correlaciona entre las cargas de trabajo de Microsoft Defender en un incidente de alta fidelidad.
Sobre la base de los aprendizajes previos de las técnicas populares de Octo Tempest, la interrupción del ataque deshabilitará en automático la cuenta de usuario utilizada por Octo Tempest y revocará todas las sesiones activas existentes por el usuario comprometido.
Si bien la interrupción del ataque puede contener el ataque al cortar al atacante, es fundamental que los equipos del centro de operaciones de seguridad (SOC, por sus siglas en inglés) realicen actividades de respuesta a incidentes y análisis posteriores al incidente para ayudar a garantizar que la amenaza esté contenida y remediada por completo.
Investiguen y busquen actividades relacionadas con Octo Tempest: Octo Tempest es conocido de manera infame por sus tácticas agresivas de ingeniería social, que a menudo afectan a las personas con permisos específicos para obtener acceso legítimo y moverse de manera lateral a través de las redes. Para ayudar a las organizaciones a identificar estas actividades, los clientes pueden usar la funcionalidad de búsqueda avanzada de Microsoft Defender para investigar y responder de forma proactiva a las amenazas en su entorno. Los analistas pueden realizar consultas en orígenes de datos propios y de terceros con tecnología de Microsoft Defender XDR y Microsoft Sentinel. Además de estas tablas, los analistas también pueden usar la información de exposición de Microsoft Security Exposure Management.
Más información sobre Microsoft Security Exposure Management
Mediante el uso de la búsqueda avanzada y el gráfico de exposición, los defensores pueden evaluar y buscar de forma proactiva la actividad relacionada con el actor de amenazas e identificar qué usuarios tienen más probabilidades de ser atacados y cuál será el efecto de un compromiso, para fortalecer las defensas antes de que ocurra un ataque.
Defensa proactiva contra Octo Tempest
Microsoft Security Exposure Management, disponible en el portal de Microsoft Defender, provee a los equipos de seguridad de funcionalidades como la protección de activos críticos, iniciativas de actores de amenazas y análisis de rutas de ataque que permiten a los equipos de seguridad reducir de forma proactiva la exposición y mitigar el impacto de las tácticas de ataque híbridas de Octo Tempest.
Asegúrense de que los activos críticos permanezcan protegidos
Los clientes deben asegurarse de que los activos críticos se clasifiquen como críticos en el portal de Microsoft Defender para generar rutas de ataque relevantes y recomendaciones en las iniciativas. Microsoft Defender identifica en automático los dispositivos críticos de su entorno, pero los equipos también deben crear reglas personalizadas y expandir los identificadores de activos críticos para mejorar la protección.
Tomar medidas para minimizar el impacto con iniciativas
La función de iniciativas de Exposure Management proporciona programas basados en objetivos que unifican información clave para ayudar a los equipos a endurecer las defensas y actuar con rapidez ante amenazas reales. Para abordar los riesgos más apremiantes relacionados con Octo Tempest, recomendamos que las organizaciones comiencen con las siguientes iniciativas:
- Octo Tempest Threat Initiative: Octo Tempest es conocido por tácticas como la extracción de credenciales del Servicio de Subsistema de Autoridad de Seguridad Local (LSASS, por sus siglas en inglés) mediante herramientas como Mimikatz y el inicio de sesión desde IP controladas por atacantes, las cuales se pueden mitigar a través de controles como reglas de reducción de superficie expuesta a ataques (ASR, por sus siglas en inglés) y políticas de inicio de sesión. Esta iniciativa reúne estas mitigaciones en un programa enfocado, al mapear los comportamientos de los atacantes del mundo real con controles procesables que ayudan a reducir la exposición e interrumpir las rutas de ataque antes de que se intensifiquen.
- Iniciativa de ransomware: una iniciativa más amplia centrada en reducir la exposición a los ataques impulsados por la extorsión mediante el endurecimiento de las capas de identidad, punto final e infraestructura. Esto proporcionará recomendaciones adaptadas a su organización.
![Una captura de pantalla del panel de control del Perfil del Actor: Octo Tempest [Vista previa].](https://sourcelatam.thesourcemediaassets.com/2025/07/Actor-Profile.webp)
Investiguen las rutas de ataque locales e híbridas
Los equipos de seguridad pueden utilizar el análisis de rutas de ataque para rastrear amenazas entre dominios, como las utilizadas por Octo Tempest, que han explotado el servidor crítico de Entra Connect para pasar a cargas de trabajo en la nube, escalar privilegios y ampliar su alcance. Los equipos pueden usar la vista «Cuello de botella» en el panel de control de la ruta de ataque para resaltar las entidades que aparecen en varias rutas, lo que facilita el filtrado de cuentas vinculadas al servicio de asistencia, un objetivo de Octo conocido, y priorizar su corrección.
Dada la estrategia de ataque híbrido de Octo Tempest, una ruta de ataque representativa puede tener el siguiente aspecto:
Recomendaciones
En el panorama actual de amenazas, la seguridad proactiva es esencial. Al seguir las mejores prácticas de seguridad, reducen la superficie de ataque y limitan el impacto potencial de adversarios como Octo Tempest. Microsoft recomienda implementar lo siguiente para ayudar a fortalecer su postura general y adelantarse a las amenazas:
Recomendaciones de seguridad de identidad
- Asegúrense de que la autenticación multifactor esté habilitada para todos los usuarios: agregar más métodos de autenticación, como la aplicación Microsoft Authenticator o un número de teléfono, aumenta el nivel de protección si un factor se ve comprometido.
- Habilitar las directivas de riesgo de inicio de sesión de Microsoft Entra ID Identity Protection: la activación de la directiva de riesgo de inicio de sesión garantiza que se impugnen los inicios de sesión sospechosos.
- Asegúrense de que los administradores requieran una autenticación multifactor resistente al phishing.
- Asegúrense de que las identidades sobreaprovisionadas de Microsoft Azure solo deben tener los permisos necesarios.
- Habiliten Microsoft Entra Privileged Identity Management, así como otras medidas de protección para mitigar el riesgo de acceso innecesario o no autorizado.
Recomendaciones de seguridad para endpoints
- Habiliten la protección en la nube de Microsoft Defender Antivirus para Linux.
- Activen la protección en tiempo real de Microsoft Defender Antivirus para Linux.
- Habiliten Microsoft Defender para EDR de punto de conexión en modo de bloqueo para bloquear el comportamiento malintencionado posterior a la infracción en el dispositivo a través de las funcionalidades de contención y bloqueo de comportamiento.
- Activen la protección contra alteraciones que impide que se modifique Microsoft Defender para punto de conexión (la configuración de seguridad).
- Bloqueen el robo de credenciales del subsistema de la autoridad de seguridad local de Windows: las reglas de reducción de la superficie expuesta a ataques (ASR) son el método más eficaz para bloquear las técnicas de ataque más comunes que se utilizan en los ciberataques y el software malintencionado.
- Activen Microsoft Defender Credential Guard para aislar los secretos de modo que solo el software del sistema con privilegios pueda acceder a ellos.
Recomendaciones de seguridad en la nube
- Los almacenes de claves deben tener habilitada la protección de purga para evitar la eliminación inmediata e irreversible de almacenes y secretos.
- Para reducir los riesgos de reglas de entrada demasiado permisivas en los puertos de administración de las máquinas virtuales, habiliten el control de acceso a la red Just-In-Time (JIT).
- Microsoft Defender for Cloud recomienda cifrar los datos con claves administradas por el cliente (CMK, por sus siglas en inglés) para admitir requisitos normativos o de cumplimiento estrictos. Para reducir el riesgo y aumentar el control, habiliten CMK para administrar sus propias claves de cifrado a través de Microsoft Azure Key Vault.
- Habiliten los registros en Azure Key Vault y consérvenlos durante un máximo de un año. Esto les permite volver a crear rastros de actividad con fines de investigación cuando se produce un incidente de seguridad o su red se ve comprometida.
- Copia de seguridad de Microsoft Azure debe estar habilitado para que las máquinas virtuales protejan los datos de las máquinas virtuales de Microsoft Azure y para crear puntos de recuperación que se almacenen en almacenes de recuperación con redundancia geográfica.
Exploren las soluciones de seguridad
Para obtener más información sobre las soluciones de seguridad de Microsoft, visiten nuestro sitio web. Agreguen a Favoritos el blog de Seguridad de Microsoft para mantenerse al día con nuestra cobertura experta en asuntos de seguridad.
Además, síganos en Microsoft Security LinkedIn y @MSFTSecurity en X para conocer las últimas noticias y actualizaciones sobre ciberseguridad.