En las últimas semanas, Microsoft ha observado que Octo Tempest , también conocido como Scattered Spider, ha afectado al sector aéreo, tras una actividad previa que afectó al comercio minorista, los servicios de alimentación, las organizaciones hoteleras y los seguros entre abril y julio de 2025. Esto coincide con los patrones típicos de Octo Tempest: centrarse en un sector durante varias semanas o meses antes de pasar a nuevos objetivos. Los productos de seguridad de Microsoft siguen actualizando la cobertura de protección a medida que se producen estos cambios.
Para ayudar a proteger e informar a los clientes, este blog destaca la cobertura de protección en todo el ecosistema de seguridad de Microsoft Defender y Microsoft Sentinel y brinda recomendaciones para fortalecer la postura de seguridad para protegerse contra actores de amenazas como Octo Tempest.
Adelántese a los actores de amenazas con soluciones de seguridad integradas de Microsoft Defender
Descripción general de Octo Tempest
Octo Tempest, también conocido en la industria como Scattered Spider, Muddled Libra, UNC3944 o 0ktapus, es un grupo cibercriminal con motivaciones económicas que ha impactado a organizaciones mediante diversos métodos en sus ataques de extremo a extremo. Su estrategia incluye:
- Obtener acceso inicial mediante ataques de ingeniería social y suplantar la identidad de un usuario y contactar al soporte técnico mediante llamadas telefónicas, correos electrónicos y mensajes.
- Phishing basado en servicios de mensajes cortos (SMS) que utiliza dominios de adversario en el medio (AiTM) que imitan organizaciones legítimas.
- Utilizando herramientas como ngrok, Chisel y AADInternals.
- Impacto en las infraestructuras de identidad híbrida y exfiltración de datos para respaldar operaciones de extorsión o ransomware.
La actividad reciente muestra que Octo Tempest ha implementado el ransomware DragonForce, especialmente en entornos de hipervisor VMWare ESX. A diferencia de patrones anteriores, donde Octo Tempest utilizaba privilegios de identidad en la nube para el acceso local, las actividades recientes han afectado tanto a las cuentas locales como a la infraestructura en la etapa inicial de una intrusión, antes de la transición al acceso en la nube.
Cobertura de detección de Octo Tempest
Microsoft Defender cuenta con una amplia gama de detecciones para detectar actividades relacionadas con Octo Tempest y más. Estas detecciones abarcan todas las áreas de la cartera de seguridad, incluyendo endpoints, identidades, aplicaciones de software como servicio (SaaS), herramientas de correo electrónico y colaboración, cargas de trabajo en la nube y más, para brindar una protección integral. A continuación, se muestra una lista de tácticas, técnicas y procedimientos (TTP) conocidos de Octo Tempest observados en cadenas de ataque recientes, asignados a la cobertura de detección.
| Táctica | Técnica | Cobertura de protección de Microsoft (no exhaustiva) |
| Acceso inicial | Iniciando el restablecimiento de contraseña en las credenciales del objetivo | Restablecimiento de contraseña de usuario inusual en su máquina virtual; (MDC) |
| Descubrimiento | Reconocimiento ambiental continuo | Volcado de credenciales sospechosas de NTDS.dit; (MDE) Reconocimiento de enumeración de cuentas; (MDI) Reconocimiento de mapeo de red (DNS); (MDI) Reconocimiento de usuarios y direcciones IP (SMB); (MDI) Reconocimiento de membresía de usuarios y grupos (SAMR); (MDI) Reconocimiento de atributos de Active Directory (LDAP); (MDI) |
| Acceso a credenciales, movimiento lateral | Identificación de activos de nivel 0 | Herramienta de robo de credenciales de Mimikatz; (MDE) ADExplorer recopila información de Active Directory; (MDE) Reconocimiento de entidad de seguridad (LDAP); (MDI) Asignación sospechosa de rol de Azure detectada; (MDC) Operación de elevación de acceso sospechosa; (MDC) Dominio sospechoso agregado a Microsoft Entra ID; (MDA) Modificación sospechosa de la confianza del dominio tras un inicio de sesión arriesgado; (MDA) |
| Recopilación de credenciales adicionales | Sospecha de ataque DCSync (replicación de servicios de directorio); (MDI) Sospecha de lectura de clave DKM de AD FS; (MDI) | |
| Acceder a entornos empresariales con VPN e implementar máquinas virtuales con herramientas para mantener el acceso en entornos comprometidos | Se evitó la herramienta de hackeo ‘Ngrok’; (MDE) Se evitó la herramienta de hackeo ‘Chisel’; (MDE) Posible uso malicioso de proxy o herramienta de tunelización; (MDE) Posible dispositivo relacionado con Octo Tempest registrado (MDA) | |
| Evasión de defensa, persistencia | Aprovechamiento de EDR y herramientas de gestión | Actividad de manipulación típica de los ataques de ransomware; (MDE) |
| Persistencia, Ejecución | Instalación de una puerta trasera confiable | Puerta trasera persistente de ADFS; (MDE) |
| Acciones sobre los objetivos | Preparación y exfiltración de datos robados | Posible exfiltración de datos archivados; (MDE) Exfiltración de datos a través de SMB; (MDI) |
| Implementación de ransomware | Se evitó el ransomware ‘DragonForce’; (MDE) Posible actividad de manos en el teclado previa al rescate; (MDE) |
Nota: Esta lista no es exhaustiva. Puede encontrar una lista completa de las detecciones disponibles en el portal de Microsoft Defender.
Interrumpir los ataques de Octo Tempest
Interrumpa ataques en curso con la interrupción automática de ataques : La interrupción de ataques es la exclusiva función de autodefensa integrada
de Microsoft Defender. Utiliza señales multidominio, la inteligencia de amenazas más reciente y modelos de aprendizaje automático basados en IA para predecir e interrumpir automáticamente el próximo movimiento de un atacante al contener el activo comprometido (usuario, dispositivo). Esta tecnología utiliza múltiples indicadores y comportamientos potenciales, incluyendo todas las detecciones mencionadas anteriormente, posibles intentos de inicio de sesión con Microsoft Entra ID y posibles actividades de inicio de sesión relacionadas con Octo Tempest , y los correlaciona con las cargas de trabajo de Microsoft Defender para generar un incidente de alta fidelidad.
Basándose en aprendizajes previos de las técnicas populares de Octo Tempest, la interrupción del ataque deshabilitará automáticamente la cuenta de usuario utilizada por Octo Tempest y revocará todas las sesiones activas existentes del usuario comprometido.
Si bien la interrupción de un ataque puede contener el ataque cortando al atacante, es fundamental que los equipos del centro de operaciones de seguridad (SOC) realicen actividades de respuesta a incidentes y análisis posteriores al incidente para ayudar a garantizar que la amenaza esté completamente contenida y remediada.
Investigar y detectar la actividad relacionada con Octo Tempest :
Octo Tempest es conocido por sus agresivas tácticas de ingeniería social, que a menudo afectan a personas con permisos específicos para obtener acceso legítimo y moverse lateralmente por las redes. Para ayudar a las organizaciones a identificar estas actividades, los clientes pueden usar la función de búsqueda avanzada de Microsoft Defender para investigar y responder proactivamente a las amenazas en su entorno. Los analistas pueden consultar fuentes de datos propias y de terceros con tecnología de Microsoft Defender XDR y Microsoft Sentinel. Además de estas tablas, los analistas también pueden usar la información sobre exposición de Microsoft Security Exposure Management .
Obtenga más información sobre Microsoft Security Exposure Management
Mediante la búsqueda avanzada y el gráfico de exposición, los defensores pueden evaluar y buscar de manera proactiva la actividad relacionada con el actor de amenazas e identificar qué usuarios tienen más probabilidades de ser el objetivo y cuál será el efecto de una vulneración, fortaleciendo las defensas antes de que ocurra un ataque.
Defensa proactiva contra Octo Tempest
Microsoft Security Exposure Management , disponible en el portal de Microsoft Defender, proporciona a los equipos de seguridad capacidades como protección de activos críticos, iniciativas de actores de amenazas y análisis de rutas de ataque que permiten a los equipos de seguridad reducir de forma proactiva la exposición y mitigar el impacto de las tácticas de ataque híbridas de Octo Tempest.
Asegúrese de que los activos críticos permanezcan protegidos
Los clientes deben asegurarse de que los activos críticos se clasifiquen como tales en el portal de Microsoft Defender para generar rutas de ataque relevantes y recomendaciones en las iniciativas. Microsoft Defender identifica automáticamente los dispositivos críticos en su entorno, pero los equipos también deben crear reglas personalizadas y ampliar los identificadores de activos críticos para mejorar la protección.
Tome medidas para minimizar el impacto con iniciativas
La función de iniciativas de Gestión de Exposición ofrece programas orientados a objetivos que unifican información clave para ayudar a los equipos a reforzar sus defensas y actuar con rapidez ante amenazas reales. Para abordar los riesgos más urgentes relacionados con Octo Tempest, recomendamos a las organizaciones comenzar con las siguientes iniciativas:
- Iniciativa de Amenazas Octo Tempest : Octo Tempest es conocido por tácticas como la extracción de credenciales del Servicio del Subsistema de Autoridad de Seguridad Local (LSASS) mediante herramientas como Mimikatz y el inicio de sesión desde IP controladas por el atacante. Ambas estrategias pueden mitigarse mediante controles como las reglas de reducción de la superficie de ataque (ASR) y las políticas de inicio de sesión. Esta iniciativa integra estas mitigaciones en un programa específico, que mapea el comportamiento real de los atacantes con controles prácticos que ayudan a reducir la exposición e interrumpir las rutas de ataque antes de que escalen.
- Iniciativa contra el Ransomware : Una iniciativa más amplia enfocada en reducir la exposición a ataques de extorsión mediante el fortalecimiento de las capas de identidad, endpoints e infraestructura. Esto proporcionará recomendaciones adaptadas a su organización.
![Una captura de pantalla del panel de Perfil del actor: Octo Tempest [Vista previa].](https://i0.wp.com/www.microsoft.com/en-us/security/blog/wp-content/uploads/2025/07/Actor-Profile.webp?w=1200&ssl=1)
Investigar rutas de ataque locales e híbridas
Los equipos de seguridad pueden usar el análisis de rutas de ataque para rastrear amenazas entre dominios, como las de Octo Tempest, que han explotado el servidor crítico de Entra Connect para migrar a cargas de trabajo en la nube, escalar privilegios y ampliar su alcance. Los equipos pueden usar la vista «Punto de estrangulamiento» en el panel de rutas de ataque para resaltar las entidades que aparecen en múltiples rutas, lo que facilita el filtrado de cuentas vinculadas al servicio de asistencia, un objetivo conocido de Octo y priorizar su remediación.
Dada la estrategia de ataque híbrida de Octo Tempest, una ruta de ataque representativa podría verse así:
Recomendaciones
En el panorama actual de amenazas, la seguridad proactiva es esencial. Al seguir las prácticas recomendadas de seguridad, se reduce la superficie de ataque y se limita el impacto potencial de adversarios como Octo Tempest. Microsoft recomienda implementar lo siguiente para fortalecer su estrategia general y anticiparse a las amenazas:
Recomendaciones de seguridad de la identidad
- Asegúrese de que la autenticación multifactor esté habilitada para todos los usuarios: agregar más métodos de autenticación, como la aplicación Microsoft Authenticator o un número de teléfono, aumenta el nivel de protección si un factor se ve comprometido.
- Habilitar las políticas de riesgo de inicio de sesión de Microsoft Entra ID Identity Protection : activar la política de riesgo de inicio de sesión garantiza que se cuestionen los inicios de sesión sospechosos.
- Asegúrese de que los administradores requieran una autenticación multifactor resistente al phishing .
- Asegúrese de que las identidades con exceso de aprovisionamiento de Microsoft Azure solo tengan los permisos necesarios.
- Habilite Microsoft Entra Privileged Identity Management , así como otras medidas de protección para mitigar el riesgo de acceso innecesario o no autorizado.
Recomendaciones de seguridad de endpoints
- Habilite la protección en la nube de Microsoft Defender Antivirus para Linux .
- Active la protección en tiempo real de Microsoft Defender Antivirus para Linux .
- Habilite Microsoft Defender for Endpoint EDR en modo de bloqueo para bloquear el comportamiento malicioso posterior a una infracción en el dispositivo a través de capacidades de contención y bloqueo de comportamiento.
- Active la protección contra manipulaciones que básicamente impide que se modifique Microsoft Defender for Endpoint (su configuración de seguridad).
- Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows: las reglas de reducción de la superficie de ataque (ASR) son el método más eficaz para bloquear las técnicas de ataque más comunes que se utilizan en ataques cibernéticos y software malicioso.
- Active Microsoft Defender Credential Guard para aislar los secretos de modo que solo el software del sistema privilegiado pueda acceder a ellos.
Recomendaciones de seguridad en la nube
- Las bóvedas de claves deben tener habilitada la protección de purga para evitar la eliminación inmediata e irreversible de bóvedas y secretos.
- Para reducir los riesgos de reglas de entrada demasiado permisivas en los puertos de administración de máquinas virtuales, habilite el control de acceso a la red justo a tiempo (JIT) .
- Microsoft Defender para la Nube recomienda cifrar datos con claves administradas por el cliente (CMK) para cumplir con los estrictos requisitos de cumplimiento normativo. Para reducir el riesgo y aumentar el control, habilite CMK para que administre sus propias claves de cifrado a través de Microsoft Azure Key Vault.
- Habilite los registros en Azure Key Vault y consérvelos hasta por un año. Esto le permite recrear registros de actividad para fines de investigación cuando se produce un incidente de seguridad o su red se ve comprometida.
- Se debe habilitar Microsoft Azure Backup para máquinas virtuales a fin de proteger los datos de sus máquinas virtuales de Microsoft Azure y crear puntos de recuperación almacenados en bóvedas de recuperación con redundancia geográfica.
Microsoft Defender
Capacidades integrales de prevención, detección y respuesta ante amenazas para todos.
Explorar soluciones de seguridad
Para obtener más información sobre las soluciones de seguridad de Microsoft, visite nuestro sitio web . Guarde el blog de seguridad de Microsoft en sus favoritos para mantenerse al día con nuestra cobertura experta sobre seguridad.
Además, síganos en Microsoft Security LinkedIn y @MSFTSecurity en X para conocer las últimas noticias y actualizaciones sobre ciberseguridad.
Microsoft News. Traducido al español
