Wine Tempest (tidligere PARINACOTA) bruker vanligvis menneskestyrt løsepengevirus for angrep, og distribuerer hovedsakelig Wadhrama-løsepengevirus. De er ressursrike, og endrer taktikk som samsvarer med behovene, og har brukt kompromitterte maskiner til ulike formål, inkludert kryptovaluta-utvinning, sending av søppelpost, eller vært proxy for andre angrep. Gruppen bruker vanligvis en smash-and-grab-metode, hvor de forsøker å infiltrere en maskin i et nettverk og fortsetter med påfølgende løsepengekrav på mindre enn en time. Wine Tempests angrep ved vanligvis å bruke rå kraft for å komme inn i serverne som har Remote Desktop Protocol (RDP) eksponert for internett, med mål om å flytte lateralt i et nettverk, eller utføre ytterligere aktiviteter med rå kraft mot mål utenfor nettverket. Gruppen retter seg ofte mot innebygde lokale administratorkontoer eller en liste over vanlige kontonavn. I andre tilfeller retter gruppen seg mot Active Directory-kontoer som de har kompromittert eller har tidligere kunnskap om, slik som servicekontoer til kjente leverandører.