A Wine Tempest (korábbi nevén PARINACOTA) jellemzően ember által üzemeltetett zsarolóvírusokat használ a támadásaihoz, legtöbbször a Wadhrama nevű zsarolóvírust telepíti. A csoport igen leleményes támadókból áll, akik az igényeik szerint változtatják a taktikáikat, és számos különböző célra használják a feltört gépeket, egyebek között kriptovaluta-bányászatra, levélszemét küldésére és proxyként más támadásokhoz. A csoport leggyakrabban „kirakatbetöréses lopáshoz” hasonló módszert alkalmaz, amelynek során megpróbálnak behatolni egy hálózaton lévő gépre, majd kevesebb mint egy órán belül előállnak a váltságdíj-követelésükkel. A Wine Tempest tagjai általában találgatásos támadással törnek be olyan kiszolgálókra, amelyeken a Távoli asztali protokoll (RDP) elérhető az internetről, azzal a céllal, hogy oldalirányban tudjanak mozogni egy hálózaton belül, vagy találgatáson alapuló további tevékenységeket végezzenek a hálózaton kívüli célok ellen. A csoport gyakran beépített helyi rendszergazdafiókokat vagy egyéb, gyakori nevű fiókokat vesz célba. Más esetekben olyan Active Directory-fiókokat támad meg, amelyeket korábban feltörtek vagy más módon megismertek, például ismert szállítók szolgáltatásfiókjait.