Wine Tempest (бивша PARINACOTA) обикновено използва за атаките си рансъмуер, управляван от хора, като най-често разполага рансъмуера Wadhrama. Те са изобретателни, променят тактиката според нуждите си и използват компрометирани машини за различни цели, включително за добив на криптовалута, изпращане на имейли с нежелана поща, или играят ролята на посредници за други атаки. Групата най-често използва метода „разбий и грабни“ като се опитва да проникне в дадена машина в мрежата и да поиска последващо откупуване в рамките на по-малко от час. Атаките на Wine Tempest обикновено се извършват чрез грубо насилствено проникване в сървъри с протокол за отдалечен работен плот (RDP), които са изложени на риск в интернет, с цел да се проникнат в мрежата или да извършат допълнителни действия с атаки с „пръскане с пароли“ срещу цели извън мрежата. Често групата е насочена към вградени акаунти на местни администратори или към списък с често срещани имена на акаунти. В други случаи групата се насочва към акаунти в Active Directory, които е компрометирала или за които има предварителни познания, например служебни акаунти на известни доставчици.