Een groep criminelen bedreigt medewerkers van organisaties om hun inloggegevens te delen, anders dreigen ze de medewerker of hun gezin iets aan te doen, zo stelt Microsoft. Het techbedrijf noemt de groep Octo Tempest, maar die staat ook bekend als 0ktapus, UNC3944 en Scattered Spider. De groep zou eerder verantwoordelijk zijn voor een ransomware-aanval op hotel- en casinoketen Caesars.

Om toegang tot de systemen van slachtoffers te krijgen maken de aanvallers veel gebruik van social engineering. Vaak worden phishing-sms'jes verstuurd en de helpdesks van organisaties gebeld om wachtwoorden of multifactorauthenticatie te resetten. In sommige gevallen worden medewerkers van de aangevallen organisaties gebeld of bedreigd om hun inloggegevens te delen. Daarbij maken de aanvallers gebruik van persoonlijke informatie, zoals adresgegevens en namen van gezinsleden.

De groep hield zich eerst bezig met datadiefstal, afpersing en het stelen van cryptovaluta door middel van sim-swapping. Een aantal maanden geleden is de groep zich ook gaan bezighouden met de verspreiding van ransomware, waarbij het een partner van de ALPHV/BlackCat-ransomware is geworden, aldus Microsoft. Het techbedrijf heeft een analyse van de werkwijze van de groep gepubliceerd, alsmede aanbevelingen gedaan hoe organisaties zich hier tegen kunnen wapenen.