Wine Tempest (agrāk PARINACOTA) uzbrukumiem parasti izmanto cilvēka darbinātu izspiedējprogrammatūru, galvenokārt izspiedējprogrammatūru Wadhrama. Tie ir atjautīgi, mainot taktiku atbilstoši savām vajadzībām, un ir izmantojuši uzbrukumam pakļautas mašīnas dažādiem mērķiem, tostarp kriptovalūtas ieguvei, surogātpasta ziņojumu sūtīšanai vai starpniecībai citu uzbrukumu veikšanai. Grupa visbiežāk izmanto uzlaušanas un satveršanas metodi, ar kuru tā mēģina tīklā iefiltrēties mašīnā, un pēc nepilnas stundas turpina ar izpirkuma maksas pieprasīšanu. Wine Tempest uzbrukumi parasti tiek veikti, uzlaužot piekļuvi serveriem, kuru attālās darbvirsmas protokols (RDP) ir pakļauts internetam, ar mērķi pārvietoties tālāk tīklā vai veikt turpmākas uzbrūkošas darbības pret mērķiem ārpus tīkla. Bieži vien grupa ir vērsta uz iebūvētiem lokālo administratoru kontiem vai bieži sastopamo kontu sarakstu. Citos gadījumos grupa mērķē uz tiem Active Directory kontiem, kas ir apdraudēti vai par kuriem tai ir zināšanas, piemēram, zināmu piegādāju pakalpojumu kontiem.