Microsoft ha observado que Octo Tempest, también conocida como Scatter Spider, ha comenzado a atacar al sector de las aerolíneas.
En las últimas semanas, Microsoft ha observado que Octo Tempest, también conocida como Scatter Spider, ha comenzado a atacar al sector de las aerolíneas, tras haber afectado previamente al comercio minorista, servicios de alimentación, hostelería y seguros entre abril y julio de 2025.
Este patrón se alinea con su enfoque característico de concentrarse en una industria durante semanas o meses antes de cambiar de objetivo. Los productos de seguridad de Microsoft actualizan constantemente su cobertura en respuesta a estos cambios.
Cobertura de detección de Octo Tempest
Microsoft Defender cuenta con una amplia gama de detecciones para identificar actividades relacionadas con Octo Tempest. Estas abarcan endpoints, identidades, SaaS, correo electrónico, colaboración y cargas de trabajo en la nube, para garantizar una protección integral. A continuación, se presentan técnicas y tácticas observadas en cadenas de ataque recientes.
Interrupción de los ataques de Octo Tempest
Interrupción automática de ataques es una capacidad única de Microsoft Defender que emplea señales cruzadas, inteligencia de amenazas y modelos de IA para predecir y contener el siguiente movimiento del atacante. Identifica activos comprometidos como usuarios o dispositivos, y los aísla automáticamente. Basado en patrones anteriores de Octo Tempest, esta función desactiva cuentas comprometidas y revoca sus sesiones activas.
Aunque esta función contiene ataques de forma automática, es crucial que los equipos de seguridad (SOC) completen actividades de respuesta y análisis post-incidente para garantizar la eliminación total de la amenaza.
Investigar y buscar actividades relacionadas con Octo Tempest
Octo Tempest es conocido por tácticas agresivas de ingeniería social para obtener acceso legítimo y moverse lateralmente por redes. Para identificar estas actividades, los clientes pueden usar la búsqueda avanzada de Microsoft Defender para investigar y responder de forma proactiva a las amenazas en su entorno. Los analistas pueden realizar consultas en orígenes de datos propios y de terceros con tecnología de Microsoft Defender XDR y Microsoft Sentinel, además de aprovechar los datos de Microsoft Security Exposure Management.
Mediante el uso de la búsqueda avanzada y el gráfico de exposición, los defensores pueden evaluar de forma proactiva la búsqueda de la actividad relacionada con los actores de amenazas e identificar qué usuarios tienen más probabilidades de ser atacados y cuál será el efecto de un compromiso, fortaleciendo las defensas antes de que ocurra un ataque.
Defensa proactiva contra Octo Tempest
Security Exposure Management, en el portal de Microsoft Defender, equipa a los equipos de seguridad con herramientas para reducir la exposición e impacto de ataques híbridos.
Asegurar la protección de activos críticos
Los clientes deben asegurarse de que los activos críticos se clasifiquen como críticos en el portal de Microsoft Defender para generar rutas de ataque relevantes y recomendaciones en las iniciativas. Microsoft Defender identifica automáticamente los dispositivos críticos de su entorno, pero los equipos también deben crear reglas personalizadas y expandir los identificadores de activos críticos para mejorar la protección.
Tomar medidas para minimizar el impacto con iniciativas
La función de iniciativas de Exposure Management proporciona programas basados en objetivos que unifican información clave para ayudar a los equipos a endurecer las defensas y actuar rápidamente ante amenazas reales. Para abordar los riesgos más apremiantes relacionados con Octo Tempest, recomendamos que las organizaciones comiencen con las siguientes iniciativas:
- Octo Tempest Threat Initiative: agrupa mitigaciones frente a tácticas como robo de credenciales (LSASS), uso de herramientas como Mimikatz, e inicios de sesión desde IPs maliciosas.
- Iniciativa de ransomware: una iniciativa más amplia centrada en reducir la exposición a los ataques impulsados por la extorsión mediante el endurecimiento de las capas de identidad, endpoint e infraestructura.
Investigar las rutas de ataque locales e híbridas
Los equipos pueden usar análisis de rutas de ataque para rastrear amenazas como Octo Tempest, que explotan servidores como Entra Connect para escalar privilegios y propagarse a la nube. Los equipos pueden usar la vista “cuello de botella” » en el panel de control de la ruta de ataque para resaltar las entidades que aparecen en varias rutas, lo que facilita el filtrado de cuentas vinculadas al servicio de asistencia, un objetivo de Octo conocido, y priorizar su corrección.
Para más información, consulta aquí.
DERECHOS DE AUTOR
Esta información pertenece a su autor original y se encuentra en el sitio https://boletin.mx/2025/07/16/protegete-de-los-ataques-de-octo-tempest-en-multiples-industrias/
