octo-tempest - RunkIntel

# Octo Tempest > [!danger] Octo Tempest/Scattered Spider - Engenharia Social como Arma APT > Octo Tempest e o grupo que **prova que engenharia social supera qualquer controle tecnico**. Em 2025, o grupo comprometeu M&S (UK), Co-op, Harrods, Qantas (6M clientes), Hawaiian Airlines e WestJet - usando apenas vishing para enganar help desks de TI, sem explorar nenhum zero-day. Em julho de 2025, a CISA atualizou seu advisory com novos TTPs. O grupo e formado por **jovens nativos digitais falantes de ingles** (17-22 anos, EUA/UK/Canada) com conhecimento profundo de processos corporativos de TI. ## Visão Geral Octo Tempest (Scattered Spider, UNC3944, Muddled Libra) e um dos grupos de ameaça mais prolíficos e eficazes de 2023-2025, operando com um modelo único: **engenharia social sofisticada como vetor de entrada primario**, sem dependência de zero-days ou malware avancado para acesso inicial. O grupo e formado por jovens nativos digitais de lingua inglesa localizados primariamente nos EUA, Reino Unido e Canada, com profundo conhecimento dos processos operacionais de TI em grandes corporacoes. A Microsoft rastreia o grupo como **Octo Tempest** desde 2023. O grupo evoluiu de operações de SIM swapping e roubo de criptomoedas (2022) para **campanhas de ransomware em larga escala** (2024-2025). Após parceria com [[alphv-blackcat|ALPHV/BlackCat]] em 2023, o grupo migrou para o **[[dragonforce-ransomware|DragonForce Ransomware]]** em 2025, com foco em hipervisores ESXi para maximizar impacto em data centers corporativos. Em 2025, o grupo expandiu agressivamente para **aviacao e varejo** - setores com dados de clientes de alto valor e pressao regulatoria para pagamento rapido de resgaté. A CISA emitiu advisory atualizado em julho de 2025 específicamente sobre o grupo. **Também conhecido como:** Scattered Spider, UNC3944, Muddled Libra, Starfraud, 0ktapus, Scatter Swine, Spider WS ## Modelo de Ataque - Social Engineering First ```mermaid graph TB A["Recon OSINT LinkedIn / IT staff profiles processos corporativos TI"] --> B["Vishing Help Desk Engenheiro de TI falso solicita reset MFA/senha"] B --> C["SIM Swap Backup Se vishing falha SIM swapping no telco"] C --> D["MFA Fatigue Bombardeio de notificacoes ou OTP fishing via SMS"] D --> E["Acesso Cloud Okta / Azure AD via credencial comprometida"] E --> F["Ransomware Deploy DragonForce em ESXi + extorsao de dados"] classDef recon fill:#34495e,color:#fff,stroke:#2c3e50 classDef vishing fill:#c0392b,color:#fff,stroke:#922b21 classDef sim fill:#e67e22,color:#fff,stroke:#d35400 classDef mfa fill:#8e44ad,color:#fff,stroke:#6c3483 classDef cloud fill:#1a5276,color:#fff,stroke:#154360 classDef ransom fill:#196f3d,color:#fff,stroke:#145a32 class A recon class B vishing class C sim class D mfa class E cloud class F ransom ``` ## Evolução 2022-2025 ```mermaid graph TB A["2022 - SIM Swapping Cripto e contas pessoais primeiros membros arrestados"] --> B["2023 - MGM/Caesars Vishing + ALPHV RaaS USD 100M em danos"] B --> C["2024 - Tech/Telecom Expansao para telcos roubo de dados em massa"] C --> D["2025 - Retail/Aviation M&S, Qantas, Co-op DragonForce ransomware"] D --> E["Jul 2025 - CISA Alert Advisory atualizado novas TTPs documentadas"] classDef phase1 fill:#1a5276,color:#fff,stroke:#154360 classDef phase2 fill:#8e44ad,color:#fff,stroke:#6c3483 classDef phase3 fill:#e67e22,color:#fff,stroke:#d35400 classDef phase4 fill:#c0392b,color:#fff,stroke:#922b21 classDef phase5 fill:#7b241c,color:#fff,stroke:#641e16 class A phase1 class B phase2 class C phase3 class D phase4 class E phase5 ``` ## Ataques Notaveis 2024-2025 | Data | Vitima | Impacto | Método | | ---- | ------ | ------- | ------ | | Set 2023 | MGM Resorts | USD 100M em danos, 10 dias fora | Vishing IT help desk | | Set 2023 | Caesars Entertainment | USD 15M pago em resgaté | Vishing + ALPHV | | Mai 2025 | Marks & Spencer (M&S) | GBP 300M em impacto, semanas de interrupcao | DragonForce ESXi | | Mai 2025 | Co-op UK | Exfiltração de dados de membros | Vishing + ransomware | | Mai 2025 | Harrods | Acesso nao autorizado confirmado | Vishing | | Jul 2025 | Qantas | 6M registros de clientes | Ransomware + extorsao | | Jul 2025 | Hawaiian Airlines | Comprometimento de dados | Vishing + RAT | | Jul 2025 | WestJet (Canada) | Interrupco operacional | Ataque nao divulgado | ## TTPs Distintivos **Vishing de help desk:** O grupo passa horas pesquisando a estrutura de TI da vitima via LinkedIn, perfis do Azure AD vazados e tech stack da empresa. Ligam para o help desk **se passando por funcionarios em processo de onboarding** ou **trabalhadores remotos com problemas de acesso** - cenários que treinamentos anti-phishing raramente cobrem. **SIM swapping:** Para vitimas com telefone pessoal como segundo fator, o grupo contata operadoras de telefonia (Verizon, AT&T, T-Mobile no caso americano) para transferir o número para um SIM controlado pelo atacante. **MFA fatigue:** Disparo de dezenas de notificacoes push de MFA em horarios incomuns (madrugada, final de semana) até o usuario aprovar por cansaco ou confusao. **DragonForce em ESXi:** O payload final em 2025 e o [[dragonforce-ransomware|DragonForce Ransomware]] configurado para atacar hipervisores ESXi - maximizando impacto ao criptografar todas as VMs de um data center simultaneamente. ## Técnicas Utilizadas - [[t1598-003-spearphishing-link|T1598.003 - Spearphishing Link]] - [[t1566-004-spearphishing-voice|T1566.004 - Spearphishing Voice]] - [[t1621-multi-factor-authentication-request-generation|T1621 - Multi-Factor Authentication Request Generation]] - [[t1539-steal-web-session-cookie|T1539 - Steal Web Session Cookie]] - [[t1078-004-cloud-accounts|T1078.004 - Cloud Accounts]] - [[t1556-006-multi-factor-authentication|T1556.006 - Multi-Factor Authentication]] - [[t1528-steal-application-access-token|T1528 - Steal Application Access Token]] - [[t1550-001-application-access-token|T1550.001 - Application Access Token]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - [[t1567-002-exfiltration-to-cloud-storage|T1567.002 - Exfiltration to Cloud Storage]] - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1484-002-trust-modification|T1484.002 - Domain or Tenant Policy Modification]] - [[t1199-trusted-relationship|T1199 - Trusted Relationship]] ## Software Utilizado - [[dragonforce-ransomware|DragonForce Ransomware]] - [[alphv-blackcat|ALPHV/BlackCat]] - [[s0154-cobalt-strike|Cobalt Strike]] - [[mimikatz|Mimikatz]] ## Relevância para o Brasil e LATAM > [!warning] Risco para Varejo, Aviacao e Telecom Brasileiros > Octo Tempest representa ameaça emergente e crescente para o Brasil. Os alvos de 2025 - varejo, aviacao e telecomúnicacoes - sao setores com grande presenca brasileira. Empresas como **Magazine Luiza, Américanas, Renner** (varejo), **LATAM Brasil, Azul, Gol** (aviacao) e **Claro, Vivo, TIM** (telecom) estao no perfil de alvos preferêncial. O modelo de **vishing em ingles** pode ser adaptado para portugues com facilidade - o grupo já demonstrou capacidade de pesquisa profunda sobre alvos. Mais preocupante: o vetor primario do grupo e **o help desk de TI** - qualquer empresa brasileira com processo de reset de senha por telefone e vulnerável, independente de controles tecnicos. **Recomendacoes prioritarias:** - Implementar verificação out-of-band para resets de MFA (video call com ID, supervisor approval) - Treinar help desk específicamente para cenários de vishing - nao apenas phishing por email - Desabilitar SMS como segundo fator para contas privilegiadas - usar hardware tokens - Monitorar criação de novos dispositivos de MFA em contas de alto privilegio --- *Fontes: [Microsoft Octo Tempest](https://www.microsoft.com/en-us/security/blog/2023/10/25/octo-tempest-crosses-boundaries-to-facilitaté-extortion-encryption-and-destruction/) | [CISA Scattered Spider Advisory 2025](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-320a) | [M&S Cyber Attack 2025](https://therecord.media/marks-spencer-cyber-attack-dragonforce) | [Qantas Breach 2025](https://therecord.media/qantas-cyberattack-scattered-spider)*