Microsoft ha resaltado las tácticas en evolución de Spider dispersas y confirmó que el grupo se ha observado utilizando nuevas tácticas para obtener acceso a entornos en la nube. Por lo general, el grupo, rastreado por Microsoft como Octo Tempest, utiliza privilegios de identidad en la nube para obtener acceso a las instalaciones. Sin embargo, Microsoft dijo que las actividades recientes han implicado un impacto en las cuentas locas como la infraestructura en la etapa inicial de una intrusión antes de la transición al acceso a la nube. El grupo también se ha observado desplegar ransomware DragonForce. El análisis del gigante tecnológico destaca que la implementación de ransomware tenía un enfoque particular en los entornos de VMware ESX Hypervisor. El grupo continúa utilizando tácticas agresivas de ingeniería social para obtener acceso inicial a través de la manipulación del personal de soporte de escritorio de servicio. El grupo también ha implementado el phishing SMS utilizando dominios adversarios en el medio (AITM) que imitan a las organizaciones legítimas. Más recientemente, el grupo se ha dirigido activamente a las aerolíneas con ransomware y ataques de extorsión de datos. Entre abril y julio de 2025, su actividad se ha dirigido al comercio minorista, los servicios de alimentos, las organizaciones de hospitalidad y los sectores de seguros. Lea más sobre la araña dispersa: la araña dispersa dirigida activamente a las aerolíneas, el FBI advierte que Microsoft actualiza los productos de seguridad para mantener el ritmo de Microsoft dijo que sus productos de seguridad continúan actualizando la protección a medida que las tácticas de Spider dispersas continúan evolucionando. A saber, la compañía destacó su defensor de Microsoft y el ecosistema de seguridad de Microsoft Sentinel. Microsoft destacó una amplia gama de detecciones dentro del defensor de Microsoft para identificar actividades dispersas relacionadas con la araña. Estas se encuentran en todas las áreas de la cartera de seguridad, incluidos puntos finales, identidades, software como servicio (SaaS), herramientas de correo electrónico y colaboración, cargas de trabajo en la nube y más para proporcionar una cobertura de protección integral. Los ataques se pueden interrumpir utilizando la capacidad de autodefensa incorporada de Microsoft Defender. La interrupción del ataque utiliza múltiples indicadores y comportamientos y los correlaciona a través de las cargas de trabajo del defensor de Microsoft en un incidente de alta fidelidad. Microsoft dijo que, basado en aprendizajes anteriores de las populares técnicas de Tempest Octo, la interrupción del ataque desactivará automáticamente la cuenta de usuario utilizada por Octo Tempest y revoca todas las sesiones activas existentes por el usuario comprometido. Sin embargo, sigue siendo crítico que los equipos del Centro de Operaciones de Seguridad (SOC) realicen una respuesta de incidentes y un análisis posterior a la incidente para garantizar que la amenaza esté completamente contenida y remediada después de una interrupción exitosa. La defensa proactiva contra la araña dispersa Microsoft destacó una serie de tácticas que los equipos de seguridad pueden usar a través de su solución de gestión de exposición de seguridad para proteger de manera proactiva contra la araña dispersa. Implementado correctamente, las tácticas proactivas pueden reducir la exposición y mitigar el impacto de las tácticas de ataque híbrido del hacker. Estos incluyen protección crítica de activos, iniciativas de actores de amenaza y análisis de ruta de ataque. Microsoft recomendó que las organizaciones mejoren su identidad, punto final y medidas de seguridad en la nube a través de la autenticación multifactor (MFA), las políticas de inicio de sesión basadas en el riesgo y el acceso de menos privilegios para usuarios y dispositivos.