Grupa Wine Tempest (przedtem PARINACOTA) zwykle używa oprogramowania wymuszającego okup obsługiwanego przez człowieka, na ogół wdrażając oprogramowanie wymuszające okup Wadhrama. Jest pomysłowa, zmienia taktyki, dopasowując je do swoich potrzeb, oraz używała maszyn z naruszonymi zabezpieczeniami do różnych celów, w tym do wydobywania kryptowalut, rozsyłania wiadomości e-mail ze spamem lub używania serwerów proxy do innych ataków. Grupa najczęściej stosuje metodę włamywania, w której próbuje infiltrować maszynę w sieci i następnie wymusić okup w ciągu mniej niż godziny. Ataki grupy Wine Tempest zwykle są siłowymi wymuszeniami dostępu do serwerów, których protokół pulpitu zdalnego (RDP) jest narażony na zagrożenia przez Internet, w celu penetracji sieci lub wykonywania kolejnych działań siłowych względem ofiar na zewnątrz sieci. Celem ataków grupy często są wbudowane konta administratorów lokalnych lub lista typowych nazw kont. W innych przykładach celem grupy są konta usługi Active Directory, których zabezpieczenia zostały przez nią złamane lub o których już wcześniej wiedziała, takie jak konta usług znanych dostawców.