Cómo asigna Microsoft nombres a los actores de amenazas
Microsoft cambió a una nueva taxonomía de nomenclatura para los actores de amenazas alineados con el tema del clima. Pretendemos aportar una mayor claridad a los clientes y a otros investigadores de seguridad con la nueva taxonomía. Ofrecemos una manera más organizada, articulada y fácil de hacer referencia a los actores de amenazas para que las organizaciones puedan priorizar y protegerse mejor y ayudar a los investigadores de seguridad que ya se enfrentan a una cantidad abrumadora de datos de inteligencia sobre amenazas.
Microsoft clasifica los actores de amenazas en cinco grupos clave:
Actores estatales: operadores cibernéticos que actúan en nombre o dirigidos por un programa alineado con la nación o el estado, independientemente de si se trata de espionaje, ganancia financiera o retribución. Microsoft observó que la mayoría de los actores estatales nacionales siguen centrando operaciones y ataques en agencias gubernamentales, organizaciones intergubernamentales, organizaciones no gubernamentales y grupos de reflexión para objetivos tradicionales de espionaje o vigilancia.
Actores con motivación financiera: ciber campañas o grupos dirigidos por una organización criminal o persona con motivaciones de ganancia financiera y no están asociados con una alta confianza a un estado o entidad comercial no nacional conocidos. Esta categoría incluye operadores de ransomware, compromiso de correo electrónico empresarial, suplantación de identidad (phishing) y otros grupos con motivaciones puramente financieras o de extorsión.
Actores ofensivos del sector privado (PSOA): actividad cibernética liderada por actores comerciales que son entidades jurídicas conocidas o legítimas, que crean y venden ciberaweapons a los clientes que luego seleccionan objetivos y operan las ciberamensiones. Estas herramientas se observaron dirigidas a disidentes, defensores de derechos humanos, periodistas, defensores de la sociedad civil y otros ciudadanos privados, amenazando muchos esfuerzos mundiales por los derechos humanos.
Operaciones de influencia: campañas de información que se comunican en línea o sin conexión de forma manipuladora para cambiar las percepciones, comportamientos o decisiones de audiencias dirigidas a fomentar los intereses y objetivos de un grupo o nación.
Grupos en desarrollo: una designación temporal dada a una actividad de amenaza desconocida, emergente o en desarrollo. Esta designación permite a Microsoft realizar un seguimiento de un grupo como un conjunto discreto de información hasta que podamos alcanzar una gran confianza sobre el origen o la identidad del actor detrás de la operación. Una vez que se cumplen los criterios, un grupo en desarrollo se convierte en un actor con nombre o se combina en nombres existentes.
En nuestra nueva taxonomía, un evento meteorológico o un nombre de familia representa una de las categorías anteriores. Para los actores de estado-nación, hemos asignado un nombre de familia a un país o región de origen vinculado a la atribución, como typhoon indica el origen o la atribución a China. Para otros actores, el nombre de la familia representa una motivación. Por ejemplo, Tempest indica actores con motivación financiera.
Los actores de amenazas dentro de la misma familia meteorológica reciben un adjetivo para distinguir los grupos de actores con tácticas, técnicas y procedimientos distintos (TTP), infraestructura, objetivos u otros patrones identificados. Para los grupos en desarrollo, usamos una designación temporal de Storm y un número de cuatro dígitos donde hay un clúster de actividad de amenazas recién descubierto, desconocido, emergente o en desarrollo.
En la tabla se muestra cómo se asignan los nuevos nombres de familia a los actores de amenazas de los que se realiza el seguimiento.
| Categoría actor | Tipo | Apellido |
|---|---|---|
| Estado-nación | China Irán Líbano Corea del Norte Rusia Corea del Sur Turquía Vietnam |
Tifón Tormenta de arena Lluvia Aguanieve Ventisca Granizo Polvo Ciclón |
| Motivación financiera | Motivación financiera | Tempestad |
| Actores ofensivos del sector privado | Psoas | Tsunami |
| Operaciones de influencia | Operaciones de influencia | Inundación |
| Grupos en desarrollo | Grupos en desarrollo | Tormenta |
Use la siguiente tabla de referencia para comprender cómo se traducen nuestros nombres de actores de amenazas anteriores divulgados públicamente a nuestra nueva taxonomía.
| Nombre del actor de amenazas | Nombre anterior | Origen o amenaza | Otros nombres |
|---|---|---|---|
| Tifón antiguo | Storm-0558 | China | |
| Aqua Blizzard | ACTINIO | Rusia | UNC530, Oso Primitivo, Gamaredon |
| Tsunami azul | Actor ofensivo del sector privado | Cubo negro | |
| Tifón de latón | BARIO | China | APT41 |
| Cadete Blizzard | DEV-0586 | Rusia | |
| Tempestad de camuflaje | TAAL | Motivación financiera | FIN6, Araña esqueleto |
| Ciclón de lienzo | BISMUTO | Vietnam | APT32, OceanLotus |
| Tsunami de caramelo | SOURGUM | Actor ofensivo del sector privado | Candiru |
| Carmine Tsunami | DEV-0196 | Actor ofensivo del sector privado | QuaDream |
| Tifón de carbón | CROMO | China | ControlX |
| Tempestad de canela | DEV-0401 | Motivación financiera | Emperador Dragonfly, Estrella de Bronce |
| Tifón del círculo | DEV-0322 | China | |
| Citrine Sleet | DEV-0139, DEV-1222 | Corea del Norte | AppleJeus, Labyrinth Chollima, UNC4736 |
| Tormenta de arena de algodón | DEV-0198 (NEPTUNIUM) | Irán | Vice Leaker |
| Tormenta de arena carmesí | CURIO | Irán | TA456, Tortoise Shell |
| Tormenta de arena cuboide | DEV-0228 | Irán | |
| Denim Tsunami | KNOTWEED | Actor ofensivo del sector privado | DSIRF |
| Remolacha de diamantes | ZINC | Corea del Norte | Labyrinth Chollima, Lázaro |
| Emerald Sleet | TALIO | Corea del Norte | Kimsuky, Velvet Chollima |
| Tifón de Flax | Storm-0919 | China | Panda etéreo |
| Bosque de Blizzard | ESTRONCIO | Rusia | APT28, Oso elegante |
| Ghost Blizzard | BROMO | Rusia | Oso energético, Yeti agachado |
| Tifón de Gingham | GADOLINIO | China | APT40, Leviathan, TEMP. Periscope, Kryptonite Panda |
| Tifón de granito | GALIO | China | |
| Tormenta de arena gris | DEV-0343 | Irán | |
| Avellana de arena | EUROPIO | Irán | Cobalt Gypsy, APT34, OilRig |
| Jade Sleet | Storm-0954 | Corea del Norte | TraderTraitor, UNC4899 |
| Tempestad de encaje | DEV-0950 | Motivación financiera | FIN11, TA505 |
| Tormenta de arena de limón | RUBIDIO | Irán | Fox Kitten, UNC757, PioneerKitten |
| Tifón leopardo | CONDUCIR | China | KAOS, Mana, Winnti, Red Diablo |
| Tifón lila | DEV-0234 | China | |
| Luna Tempest | Storm-0744 | Motivación financiera | |
| Tempe tempe de manatí | DEV-0243 | Motivación financiera | EvilCorp, UNC2165, Indrik Spider |
| Mango Sandstorm | MERCURIO | Irán | MuddyWater, SeedWorm, Static Kitten, TEMP. Zagros |
| Polvo de mármol | SILICIO | Turquía | Tortuga marina |
| Marigold Sandstorm | DEV-0500 | Irán | Personal de Moisés |
| Medianoche de Blizzard | NOBELIO | Rusia | APT29, Oso acogedor |
| Mint Sandstorm | FÓSFORO | Irán | APT35, Gatito encantador |
| Moonstone Sleet | Storm-1789 | Corea del Norte | |
| Tifón de Mulberry | MANGANESO | China | APT5, Keyhole Panda, TABCTENG |
| Tempestad mostaza | DEV-0206 | Motivación financiera | Vallhund púrpura |
| Tsunami nocturno | DEV-0336 | Actor ofensivo del sector privado | Grupo de NSO |
| Tifón de nylon | NÍQUEL | China | ke3chang, APT15, Vixen Panda |
| Tempestad de Octo | Storm-0875 | Motivación financiera | 0ktapus, Araña dispersa, UNC3944 |
| Onyx Sleet | PLUTONIO | Corea del Norte | APT45, Chollima silencioso, Andariel, DarkSeoul |
| Sleet de ópalo | OSMIO | Corea del Norte | Konni |
| Tormenta de arena de durazno | HOLMIO | Irán | APT33, Kitten refinado |
| Pearl Sleet | DEV-0215 (LAWRENCIUM) | Corea del Norte | |
| Tempestad de Periwinkle | DEV-0193 | Motivación financiera | Wizard Spider, UNC2053 |
| Tempestad de Phlox | DEV-0796 | Motivación financiera | ClickPirate, Chrome Loader, Cargador de Choziosi |
| Tormenta de arena rosa | AMERICIO | Irán | Agrius, Deadwood, BlackShadow, SharpBoys |
| Tempestad de Pistachio | DEV-0237 | Motivación financiera | FIN12 |
| Lluvia de plaid | POLONIO | Líbano | |
| Tormenta de arena de calabaza | DEV-0146 | Irán | ZeroCleare |
| Tifón púrpura | POTASIO | China | APT10, Cloudhopper, MenuPass |
| Tifón de raspberry | RADIO | China | APT30, LotusBlossom |
| Ruby Sleet | CERIO | Corea del Norte | |
| Inundación de Ruza | Storm-1099 | Rusia, operaciones de influencia | |
| Tifón de salmón | SODIO | China | APT4, Maverick Panda |
| Tifón de sal | China | GhostEmperor, FamousSparrow | |
| Sangría tempestad | ELBRUS | Motivación financiera | Carbon Spider, FIN7 |
| Conjunto de zafiros | COPERNICIUM | Corea del Norte | Genie Spider, BlueNoroff |
| Blizzard con concha marina | IRIDIO | Rusia | APT44, Sandworm |
| Blizzard secreto | CRIPTÓN | Rusia | Oso venenoso, Turla, Serpiente |
| Inundación de sefid | Storm-1364 | Irán, operaciones de influencia | |
| Tifón de seda | HAFNIO | China | |
| Tormenta de arena de humo | BOHRIO | Irán | UNC1549 |
| Spandex Tempest | CHIMBORAZO | Motivación financiera | TA505 |
| Star Blizzard | SEABORGIO | Rusia | Callisto, Equipo de reutilización |
| Storm-0062 | China | DarkShadow, Oro0lxy | |
| Storm-0133 | Irán | LYCEUM, HEXANE | |
| Storm-0216 | Motivación financiera | Araña retorcida, UNC2198 | |
| Storm-0257 | Grupo en desarrollo | UNC1151 | |
| Storm-0324 | Motivación financiera | TA543, Sagrid | |
| Storm-0381 | Motivación financiera | ||
| Storm-0501 | Grupo en desarrollo | ||
| Storm-0506 | Grupo en desarrollo | ||
| Storm-0530 | Corea del Norte | H0lyGh0st | |
| Storm-0539 | Motivación financiera | León del Atlas | |
| Storm-0569 | Motivación financiera | ||
| Storm-0587 | Rusia | SaintBot, Oso Santo, TA471 | |
| Storm-0744 | Motivación financiera | ||
| Storm-0784 | Irán | ||
| Storm-0829 | Grupo en desarrollo | Equipo de Nwgen | |
| Storm-0835 | Grupo en desarrollo | EvilProxy | |
| Storm-0842 | Irán | ||
| Storm-0844 | Grupo en desarrollo | ||
| Storm-0861 | Irán | ||
| Storm-0867 | Egipto | Cafeína | |
| Storm-0971 | Motivación financiera | (Combinado en tempestad de Octo) | |
| Storm-0978 | Grupo en desarrollo | RomCom, equipo subterráneo | |
| Storm-1044 | Motivación financiera | Danabot | |
| Storm-1084 | Irán | DarkBit | |
| Storm-1101 | Grupo en desarrollo | NakedPages | |
| Storm-1113 | Motivación financiera | ||
| Storm-1133 | Autoridad Nacional Palestina | ||
| Storm-1152 | Motivación financiera | ||
| Storm-1167 | Indonesia | ||
| Storm-1175 | Motivación financiera | ||
| Storm-1283 | Grupo en desarrollo | ||
| Storm-1286 | Grupo en desarrollo | ||
| Storm-1295 | Grupo en desarrollo | Grandeza | |
| Storm-1516 | Rusia, operaciones de influencia | ||
| Storm-1567 | Motivación financiera | Akira | |
| Storm-1575 | Grupo en desarrollo | Dadsec | |
| Storm-1660 | Irán, operaciones de influencia | ||
| Storm-1674 | Motivación financiera | ||
| Storm-1679 | Rusia, operaciones de influencia | ||
| Storm-1804 | Irán, operaciones de influencia | ||
| Storm-1805 | Irán, operaciones de influencia | ||
| Storm-1811 | Motivación financiera | ||
| Storm-1841 | Rusia, operaciones de influencia | ||
| Storm-1849 | China | UAT4356 | |
| Storm-1852 | Grupo en desarrollo | ||
| Storm-2035 | Irán, operaciones de influencia | ||
| Tempestad de fresa | Motivación financiera | LAPSUS$ | |
| Sunglow Blizzard | Rusia | ||
| Inundación de Taizi | Storm-1376 | China, operaciones de influencia | Spamouflage, Dragonbridge |
| Tempestad de tomate | SPURR | Motivación financiera | Vatet |
| Tempestad de vainilla | DEV-0832 | Motivación financiera | |
| Tempestad de Terciopelo | DEV-0504 | Motivación financiera | |
| Tifón violeta | CIRCONIO | China | APT31 |
| Tifón volt | China | SILUETA DE BRONCE, VANGUARD PANDA | |
| Tempestad del vino | PARINACOTA | Motivación financiera | Wadhrama |
| Wisteria Tsunami | DEV-0605 | Actor ofensivo del sector privado | CyberRoot |
| Zigzag Hail | DUBNIO | Corea del Sur | Dark Hotel, Tapaoux |
Lea nuestro anuncio sobre la nueva taxonomía para obtener más información: https://aka.ms/threatactorsblog
Poner la inteligencia en manos de profesionales de seguridad
Los perfiles de Intel en Inteligencia contra amenazas de Microsoft Defender proporcionan información crucial sobre los actores de amenazas. Estas conclusiones permiten a los equipos de seguridad obtener el contexto que necesitan a medida que se preparan para las amenazas y responden a ellas.
Además, la API de perfiles de Intel Inteligencia contra amenazas de Microsoft Defender proporciona la visibilidad más actualizada de la infraestructura del actor de amenazas en la industria en la actualidad. La información actualizada es fundamental para permitir que los equipos de inteligencia sobre amenazas y operaciones de seguridad (SecOps) optimicen sus flujos de trabajo avanzados de búsqueda y análisis de amenazas. Obtenga más información sobre esta API en la documentación: Uso de las API de inteligencia sobre amenazas en Microsoft Graph (versión preliminar).
Recursos
Use la siguiente consulta en Microsoft Defender XDR y otros productos de seguridad de Microsoft compatibles con el lenguaje de consulta Kusto (KQL) para obtener información sobre un actor de amenazas con el nombre antiguo, el nuevo nombre o el nombre del sector:
let TANames = externaldata(PreviousName: string, NewName: string, Origin: string, OtherNames: dynamic)[@"https://raw.githubusercontent.com/microsoft/mstic/master/PublicFeeds/ThreatActorNaming/MicrosoftMapping.json"] with(format="multijson", ingestionMapping='[{"Column":"PreviousName","Properties":{"Path":"$.Previous name"}},{"Column":"NewName","Properties":{"Path":"$.New name"}},{"Column":"Origin","Properties":{"Path":"$.Origin/Threat"}},{"Column":"OtherNames","Properties":{"Path":"$.Other names"}}]');
let GetThreatActorAlias = (Name: string) {
TANames
| where Name =~ NewName or Name =~ PreviousName or OtherNames has Name
};
GetThreatActorAlias("ZINC")
También están disponibles los siguientes archivos que contienen la asignación completa de nombres de actores de amenazas antiguos con sus nuevos nombres: