Protegendo clientes contra os ataques Octo Tempest em vários setores

A Microsoft observou  o Octo Tempest, também conhecido como Scatter Spider, impactando o setor de companhias aéreas, após atividades  que atingiram o varejo, serviços de alimentação, organizações de hospitalidade e seguros entre abril e julho de 2025. Isso se alinha com os padrões típicos do Octo Tempest de se concentrar em um setor por várias semanas ou meses antes de passar para novos alvos. Os produtos de Segurança da Microsoft continuam a atualizar a cobertura de proteção à medida que essas mudanças ocorrem.

Para ajudar a proteger e informar os clientes, este blog destaca a cobertura de proteção em todo o ecossistema de  segurança do Microsoft Defender e do Microsoft Sentinel. Além disso, fornece recomendações de proteção de segurança para se resguardar  de ameaças como o Octo Tempest.

Fique à frente dos agentes de ameaças com soluções de segurança integradas do Microsoft Defender

Visão geral do Octo Tempest

Octo Tempest, também conhecido na indústria como Scatter Spider, Muddled Libra, UNC3944 ou 0ktapus, é um grupo cibercriminoso com motivação financeira que foi observado impactando organizações usando métodos variados em seus ataques de ponta a ponta. Sua abordagem inclui:

• Obter acesso inicial usando ataques de engenharia social e se passar por um usuário e entrar em contato com o suporte da central de serviços por meio de telefonemas, e-mails e mensagens.

• Phishing baseado em SMS (Short Message Service) usando domínios adversary-in-the-middle (AiTM) que imitam organizações legítimas.

• Usando ferramentas como ngrok, Chisel e AADInternals.

• Impactar infraestruturas de identidade híbrida e exfiltrar dados para dar suporte a operações de extorsão ou ransomware. 

Atividades recentes mostram que a Octo Tempest implantou o ransomware DragonForce com foco particular em ambientes de hipervisor VMWare ESX. Em contraste com os padrões anteriores em que o Octo Tempest usava privilégios de identidade na nuvem para acesso local, as atividades recentes envolveram o impacto de contas locais e infraestrutura no estágio inicial de uma intrusão antes da transição para o acesso à nuvem.

Cobertura de detecção Octo Tempest

O Microsoft Defender tem uma ampla variedade de detecções para identificar atividades relacionadas ao Octo Tempest e muito mais. Essas detecções abrangem todas as áreas do portfólio de segurança, incluindo endpoints, identidades, aplicativos de software como serviço (SaaS), ferramentas de e-mail e colaboração, cargas de trabalho em nuvem e muito mais para garantir uma cobertura de proteção abrangente. Abaixo está uma lista de táticas, técnicas e procedimentos (TTPs) conhecidos do Octo Tempest observados em cadeias de ataque recentes mapeadas para cobertura de detecção.

Nota: A lista não é exaustiva. Uma lista completa de detecções disponíveis pode ser encontrada no portal do Microsoft Defender. 

Interrompendo ataques Octo Tempest 

Bloqueie ataques em andamento com interrupção automática de ataques: a interrupção de ataques é o recurso de autodefesa integrado exclusivo do Microsoft Defender que consome sinais de vários domínios, a inteligência de ameaças mais recente e modelos de aprendizado de máquina baseados em IA para prever e interromper automaticamente o próximo movimento de um invasor contendo o ativo comprometido (usuário, dispositivo). Essa tecnologia usa vários indicadores e comportamentos potenciais, incluindo todas as detecções listadas acima, possíveis tentativas de entrada do Microsoft Entra ID, possíveis atividades de entrada relacionadas ao Octo Tempest e correlacioná-las entre as cargas de trabalho do Microsoft Defender em um incidente de alta fidelidade.

Com base em aprendizados anteriores de técnicas populares do Octo Tempest, a interrupção do ataque desativará automaticamente a conta de usuário usada pelo Octo Tempest e revogará todas as sessões ativas existentes pelo usuário comprometido.

Enquanto a interrupção do ataque pode contê-lo cortando o invasor. É fundamental que as equipes do centro de operações de segurança (SOC) conduzam atividades de resposta a incidentes e análises pós-incidente para garantir que a ameaça seja totalmente contida e corrigida.

Investigue e procure atividades relacionadas ao Octo Tempest:Octo Tempest é conhecido por táticas agressivas de engenharia social, muitas vezes impactando indivíduos com permissões específicas para obter acesso legítimo e se mover lateralmente pelas redes. Para ajudar as organizações a identificar essas atividades, os clientes podem usar o recurso avançado de busca do Microsoft Defender para investigar e responder proativamente a ameaças em seu ambiente. Os analistas podem consultar fontes de dados próprias e de terceiros da plataforma Microsoft Defender XDR e Microsoft Sentinel. Além dessas tabelas, os analistas também podem usar insights de exposição do Gerenciamento de Exposição de Segurança da Microsoft. 

Saiba mais sobre o Microsoft Security Exposure Management

Usando a busca avançada e o Gráfico de Exposição, os defensores podem avaliar proativamente a busca pela atividade relacionada aos agentes de ameaças e identificar quais usuários têm maior probabilidade de serem visados e qual será o efeito de um comprometimento, fortalecendo as defesas antes que ocorra um ataque. 

Defesa proativa contra Octo Tempest

O Microsoft Security Exposure Management, disponível no portal Microsoft Defender, empodera as equipes de segurança com recursos como proteção de ativos críticos, iniciativas de agentes de ameaças e análise de caminho de ataque que permitem que elas reduzam proativamente a exposição e mitiguem o impacto das táticas de ataque híbrido do Octo Tempest.

Garanta que os ativos críticos permaneçam protegidos

Os clientes devem garantir que os ativos cruciais sejam classificados como críticos no portal do Microsoft Defender para gerar caminhos de ataque relevantes e recomendações em iniciativas. O Microsoft Defender identifica automaticamente dispositivos críticos em seu ambiente, mas as equipes também devem criar regras personalizadas e expandir identificadores de ativos críticos para aprimorar a proteção. 

Tome medidas para minimizar o impacto com iniciativas

O recurso de iniciativas do Exposure Management fornece programas orientados por metas que unificam os principais insights para ajudar as equipes a fortalecer as defesas e agir rapidamente em ameaças reais. Para lidar com os riscos mais urgentes relacionados ao Octo Tempest, recomendamos que as organizações comecem com as iniciativas abaixo:

• Octo Tempest Threat Initiative: O Octo Tempest é conhecido por táticas como extrair credenciais do LSASS (Local Security Authority Subsystem Service) usando ferramentas como o Mimikatz e fazer login de IPs controlados por invasores, que podem ser mitigados por meio de controles como regras de redução da superfície de ataque (ASR) e políticas de login. Essa iniciativa reúne essas mitigações em um programa focado, mapeando comportamentos de invasores do mundo real para controles acionáveis que ajudam a reduzir a exposição e interromper os caminhos de ataque antes que eles aumentem.

• Iniciativa de ransomware: uma iniciativa mais ampla focada em reduzir a exposição a ataques orientados por extorsão por meio do fortalecimento das camadas de identidade, endpoint e infraestrutura. Isso fornecerá recomendações personalizadas para sua organização. 

  
  

Investigar caminhos de ataque locais e híbridos

As equipes de segurança podem usar  a análise do caminho de ataque para rastrear ameaças entre domínios, como as usadas pelo Octo Tempest, que exploraram o servidor crítico do Entra Connect para se concentrar em cargas de trabalho na nuvem, escalar privilégios e expandir seu alcance. As equipes podem usar a exibição ‘Chokepoint’ no painel do caminho de ataque para destacar entidades que aparecem em vários caminhos, facilitando a filtragem de contas vinculadas ao suporte técnico, um destino conhecido do Octo, e priorizando sua correção. 

Dada a estratégia de ataque híbrido do Octo Tempest, um caminho de ataque representativo pode ser assim:

Recomendações

No cenário atual de ameaças, a segurança proativa é essencial. Seguindo as práticas recomendadas de segurança, você reduz a superfície de ataque e limita o impacto potencial de adversários como o Octo Tempest. A Microsoft recomenda implementar o seguinte para ajudar a fortalecer sua postura geral e ficar à frente das ameaças:

Recomendações de segurança de identidade

• Verifique se a MFA (autenticação multifator) está habilitada para todos os usuários: adicionar mais métodos de autenticação, como o aplicativo Microsoft Authenticator ou um número de telefone, aumenta o nível de proteção se um fator for comprometido.

• Habilitar  políticas de risco de entrada do Microsoft Entra ID Identity Protection: ativar a política de risco de entrada garante que entradas suspeitas sejam desafiadas.

• Verifique se  a força da autenticação multifator resistente a phishing é necessária para os administradores.

• Verifique se as identidades superprovisionadas do Microsoft Azure devem ter apenas as permissões necessárias.

• Habilite  o Microsoft Entra Privileged Identity Management, bem como outras medidas de proteção para reduzir o risco de acesso desnecessário ou não autorizado.

  
  

Recomendações de segurança de endpoint

• Habilite a proteção fornecida pela nuvem do Microsoft Defender Antivírus  para Linux.

• Ative a proteção em tempo real do Microsoft Defender Antivírus para Linux.

• Habilite o Microsoft Defender para Ponto de Extremidade EDR no modo de bloqueio para bloquear o comportamento mal-intencionado pós-violação no dispositivo por meio de recursos de bloqueio e contenção de comportamento.

• Ative a proteção contra adulteração que essencialmente impede que o Microsoft Defender para Ponto de Extremidade (suas configurações de segurança) seja modificado.

• Bloquear o roubo de credenciais do subsistema de autoridade de segurança local do Windows: as regras de redução da superfície de ataque (ASR) são o método mais eficaz para bloquear as técnicas de ataque mais comuns usadas em ataques cibernéticos e software mal-intencionado.

• Ative o Microsoft Defender Credential Guard para isolar segredos para que somente o software do sistema privilegiado possa acessá-los.

  
  

Recomendações de segurança na nuvem

• Os Key Vaults devem ter a proteção contra limpeza habilitada para impedir a exclusão imediata e irreversível de cofres e segredos.

• Para reduzir os riscos de regras de entrada excessivamente permissivas nas portas de gerenciamento das máquinas virtuais,  habilite o  controle de acesso à rede JIT (just-in-time).

• O Microsoft Defender para Nuvem recomenda criptografar dados com CMK (chaves gerenciadas pelo cliente) para atender a requisitos regulatórios ou de conformidade rígidos. Para reduzir o risco e aumentar o controle, habilite a CMK para gerenciar suas próprias chaves de criptografia por meio do Microsoft Azure Key Vault.

• Habilite os logs no Azure Key Vault e mantenha-os por até um ano. Isso permite que você recrie trilhas de atividades para fins de investigação quando ocorre um incidente de segurança ou sua rede é comprometida.

• O Backup do Microsoft Azure deve ser habilitado para máquinas virtuais para proteger os dados em suas máquinas virtuais do Microsoft Azure e para criar pontos de recuperação armazenados em cofres de recuperação com redundância geográfica.