Microsoft ha identificado el grupo de cibercriminales Octo Tempest, también conocido como Scattered Spider, que ha estado atacando múltiples sectores, incluyendo el aéreo y la distribución. Este grupo utiliza tácticas de ingeniería social, phishing y ransomware para comprometer sistemas y extorsionar a las organizaciones. En respuesta, Microsoft refuerza su protección mediante herramientas como Microsoft Defender y ofrece recomendaciones para mejorar la seguridad. Se destacan medidas proactivas como la autenticación multifactor y políticas de gestión de identidades para mitigar riesgos. La interrupción automática de ataques es una característica clave que permite contener amenazas en tiempo real. Las empresas deben adoptar un enfoque integral para proteger sus activos críticos frente a estas amenazas emergentes.
Por el equipo de investigación de seguridad de Microsoft DefenderMicrosoft Defender Security Research Team
Recientemente, Microsoft ha identificado la actividad del grupo cibercriminal conocido como Octo Tempest, también denominado Scattered Spider. Este grupo ha comenzado a dirigir sus ataques hacia el sector aéreo, sumándose a una serie de incidentes previos que afectaron a industrias como distribución, restauración, hostelería y seguros entre abril y julio de 2025. Esta táctica refleja su patrón habitual de centrarse en un sector específico durante períodos prolongados antes de cambiar a otro objetivo.
El propósito de esta publicación es informar a los clientes sobre las medidas de seguridad disponibles en Microsoft Defender y Microsoft Sentinel, así como ofrecer recomendaciones esenciales para fortalecer la defensa contra amenazas como Octo Tempest.
Octo Tempest, conocido también como Scattered Spider, Muddled Libra, UNC3944 o 0ktapus, es un colectivo dedicado al cibercrimen que busca objetivos financieros mediante diversas técnicas en sus ataques. Entre sus métodos más destacados se encuentran:
En su reciente actividad, han implementado el ransomware DragonForce, enfocándose en entornos VMWare ESX. A diferencia de estrategias anteriores donde utilizaban privilegios en la nube para acceder localmente, ahora comprometen sistemas locales desde el principio antes de extenderse a la nube.
Microsoft Defender está diseñado para detectar actividades sospechosas asociadas con Octo Tempest en todas las áreas del portafolio de seguridad, incluyendo dispositivos, identidades y aplicaciones SaaS. Esto asegura una protección integral frente a posibles amenazas.
A continuación se presenta una lista no exhaustiva de tácticas y técnicas observadas en ataques recientes relacionados con Octo Tempest:
| Táctica | Técnica | Cobertura de Protección (no exhaustiva) |
| Acceso Inicial | Iniciar el restablecimiento de contraseña en credenciales objetivo | Restablecimientos inusuales detectados; (MDC) |
| Descubrimiento | Reconocimiento medioambiental continuo | Volcado sospechoso de NTDS.dit; (MDE) |
| Acceso a credenciales, Movimiento lateral | Identificar activos críticos | Herramientas Mimikatz y ADExplorer; (MDE) |
| Recopilar credenciales adicionales | Sospecha DCSync; (MDI) | |
| Acceso empresarial con VPN y despliegue malicioso | Detección del hacktool “Ngrok”; (MDE) | |
| Evasión y Persistencia | Uso indebido de EDR y gestión herramientas | Manipulación típica en ataques ransomware; (MDE) |
| Acciones sobre Objetivos | Almacenamiento y filtración robada | Posible exfiltración detectada; (MDE) |
| Despliegue del ransomware DragonForce evitado; (MDE) |
Interrumpir ataques activos:
La interrupción automática de ataques , característica única e integrada en Microsoft Defender, utiliza señales multidominio e inteligencia sobre amenazas avanzada junto con modelos impulsados por machine learning . Esta tecnología permite predecir e interrumpir automáticamente los movimientos del atacante al contener el activo comprometido. Basándose en información recopilada sobre las tácticas populares utilizadas por Octo Tempest, esta función puede desactivar automáticamente la cuenta utilizada por los atacantes y revocar sesiones activas del usuario comprometido.
Aunque esta interrupción puede contener el ataque inicial, es crucial que los equipos SOC realicen una respuesta completa a incidentes para asegurar la contención total del riesgo.
Octo Tempest es reconocido por sus agresivas tácticas que suelen dirigirse hacia individuos con permisos específicos para obtener acceso legítimo. Para ayudar a las organizaciones a identificar estas acciones maliciosas, se recomienda utilizar la búsqueda avanzada en Microsoft Defender . Los analistas pueden realizar consultas utilizando fuentes propias y externas gracias a Microsoft Defender XDR y Microsoft Sentinel.
Aprovechando capacidades como el Exposure Graph , los defensores pueden evaluar proactivamente actividades vinculadas a actores maliciosos e identificar usuarios potencialmente afectados antes que ocurra un ataque.
Microsoft Security Exposure Management , accesible desde el portal Microsoft Defender, proporciona herramientas esenciales para proteger activos críticos y responder ante amenazas emergentes.
Es vital clasificar adecuadamente los activos críticos dentro del portal Microsoft Defender para facilitar la generación de rutas relevantes y recibir recomendaciones específicas. Aunque Microsoft Defender identifica automáticamente estos dispositivos críticos, se aconseja crear reglas personalizadas que amplíen la protección adicional.
Las iniciativas dentro del Exposure Management ofrecen programas orientados hacia objetivos que ayudan a fortalecer defensas rápidamente ante amenazas reales. Se sugieren dos iniciativas clave:
Los equipos pueden utilizar el análisis de rutas para rastrear amenazas que cruzan múltiples dominios. Esto incluye servidores críticos utilizados por Octo Tempest para acceder a cargas en la nube o escalar privilegios dentro del sistema.
A través del panel ‘Chokepoint’, se pueden resaltar entidades presentes en varias rutas facilitando así la identificación prioritaria relacionada con servicios técnicos frecuentemente atacados por este grupo criminal.
Dado el actual panorama amenazante, adoptar un enfoque proactivo es esencial. Seguir prácticas recomendadas puede reducir significativamente la superficie expuesta ante adversarios como Octo Tempest. Se sugieren las siguientes medidas:
Octo Tempest, también conocido como Scattered Spider, es un grupo de cibercrimen que persigue objetivos financieros y utiliza diversos métodos en sus ataques de extremo a extremo.
Entre las tácticas destacan la ingeniería social para acceder a cuentas, campañas de phishing por SMS, el uso de herramientas para evadir defensas, y ataques a infraestructuras híbridas que incluyen robo de datos y ransomware.
Microsoft Defender ofrece cobertura de detección en todas las áreas del portafolio de seguridad, incluyendo dispositivos, identidades y aplicaciones, además de proporcionar recomendaciones clave para mejorar la postura defensiva frente a amenazas.
Se recomienda activar la autenticación multifactor (MFA), implementar políticas de riesgo en el inicio de sesión, verificar permisos excesivos en Azure y habilitar medidas como Microsoft Entra Privileged Identity Management.
Es una capacidad integrada que utiliza inteligencia sobre amenazas y machine learning para predecir e interrumpir automáticamente el siguiente movimiento del atacante, conteniendo así el activo comprometido.
Pueden utilizar la capacidad de búsqueda avanzada de Microsoft Defender para investigar y responder proactivamente a las amenazas en su entorno.