Como a Microsoft atribui nomes a atores de ameaças
A Microsoft mudou para uma nova taxonomia de nomenclatura para atores de ameaças alinhada com o tema do clima. Pretendemos trazer uma melhor clareza aos clientes e a outros investigadores de segurança com a nova taxonomia. Oferecemos uma forma mais organizada, articulada e fácil de referenciar atores de ameaças para que as organizações possam priorizar e proteger-se melhor e ajudar os investigadores de segurança já confrontados com uma quantidade esmagadora de dados de informações sobre ameaças.
A Microsoft categoriza os atores de ameaças em cinco grupos-chave:
Atores do Estado-nação: operadores cibernéticos agindo em nome ou dirigidos por um programa alinhado com a nação/Estado, independentemente de espionagem, ganho financeiro ou retribuição. A Microsoft observou que a maioria dos atores estatais nacionais continua a concentrar operações e ataques a agências governamentais, organizações intergovernamentais, organizações não governamentais e think tanks para objetivos tradicionais de espionagem ou vigilância.
Atores com motivações financeiras: campanhas/grupos cibernéticos dirigidos por uma organização/pessoa criminosa com motivações de ganhos financeiros e não estão associados a elevada confiança a um estado de não-nação conhecido ou a uma entidade comercial. Esta categoria inclui operadores de ransomware, comprometimento de e-mail empresarial, phishing e outros grupos com motivações puramente financeiras ou extorsão.
Atores ofensivos do setor privado (PSOAs): atividade cibernética liderada por atores comerciais que são entidades legais conhecidas/legítimas, que criam e vendem armas cibernéticas a clientes que depois selecionam alvos e operam as armas cibernéticas. Estes instrumentos foram observados visando e vigiando dissidentes, defensores dos direitos humanos, jornalistas, defensores da sociedade civil e outros cidadãos privados, ameaçando muitos esforços globais em defesa dos direitos humanos.
Operações de influência: campanhas de informação comunicadas online ou offline de forma manipuladora para mudar percepções, comportamentos ou decisões por audiências-alvo para promover os interesses e objetivos de um grupo ou de uma nação.
Grupos em desenvolvimento: uma designação temporária atribuída a uma atividade de ameaças desconhecida, emergente ou em desenvolvimento. Esta designação permite que a Microsoft controle um grupo como um conjunto discreto de informações até que possamos alcançar uma confiança elevada sobre a origem ou identidade do ator por detrás da operação. Assim que os critérios forem cumpridos, um grupo em desenvolvimento é convertido num ator nomeado ou intercalado em nomes existentes.
Na nossa nova taxonomia, um evento meteorológico ou nome de família representa uma das categorias acima. Para actores do Estado-nação, atribuímos um nome de família a um país/região de origem ligado à atribuição, como Tufão indica origem ou atribuição à China. Para outros atores, o nome da família representa uma motivação. Por exemplo, Tempest indica atores com motivações financeiras.
Os atores de ameaças dentro da mesma família meteorológica recebem um adjetivo para distinguir grupos de ator com táticas, técnicas e procedimentos distintos (TTPs), infraestrutura, objetivos ou outros padrões identificados. Para grupos em desenvolvimento, utilizamos uma designação temporária do Storm e um número de quatro dígitos onde existe um cluster de atividade de ameaças recentemente detetado, desconhecido, emergente ou em desenvolvimento.
A tabela mostra como os novos nomes de família mapeiam para os atores de ameaças que controlamos.
| Categoria de ator | Tipo | Nome da família |
|---|---|---|
| Estado-nação | China Irão Líbano Coreia do Norte Rússia Coreia do Sul Turquia Vietnã |
Tufão Tempestade de areia Chuva Sleet Blizzard Granizo Pó Ciclone |
| Motivações financeiras | Motivações financeiras | Tempestade |
| Atores ofensivos do setor privado | PSOAs | Tsunami |
| Operações de influência | Operações de influência | Inundação |
| Grupos em desenvolvimento | Grupos em desenvolvimento | Tempestade |
Utilize a seguinte tabela de referência para compreender como os nossos nomes de ator de ameaças anteriormente divulgados publicamente se traduzem na nossa nova taxonomia.
| Nome do ator de ameaças | Nome anterior | Origem/Ameaça | Outros nomes |
|---|---|---|---|
| Tufão Antigo | Storm-0558 | China | |
| Aqua Blizzard | ACTINIUM | Rússia | UNC530, Urso Primitivo, Gamaredon |
| Tsunami Azul | Ator ofensivo do setor privado | Cubo Preto | |
| Tufão de Latão | BARIUM | China | APT41 |
| Cadete Blizzard | DEV-0586 | Rússia | |
| Tempestade de Camuflagem | TAAL | Motivações financeiras | FIN6, Esqueleto De Aranha |
| Ciclone de Tela | BISMUTH | Vietnã | APT32, OceanLotus |
| Tsunami de Caramelo | SOURGUM | Ator ofensivo do setor privado | Candiru |
| Carmine Tsunami | DEV-0196 | Ator ofensivo do setor privado | QuaDream |
| Tufão de carvão | CHROMIUM | China | ControloX |
| Tempestade de Canela | DEV-0401 | Motivações financeiras | Imperador Libélula, Estrela de Bronze |
| Tufões circulares | DEV-0322 | China | |
| Citrine Sleet | DEV-0139, DEV-1222 | Coreia do Norte | AppleJeus, Labyrinth Chollima, UNC4736 |
| Tempestade de Areia de Algodão | DEV-0198 (NEPTUNIUM) | Irão | Vice Leaker |
| Tempestade de Areia Carmesim | CURIUM | Irão | TA456, Casca de Tartaruga |
| Tempestade de Areia Cuboid | DEV-0228 | Irão | |
| Tsunami de Ganga | KNOTWEED | Ator ofensivo do setor privado | DSIRF |
| Sleet de Diamante | ZINCO | Coreia do Norte | Labyrinth Chollima, Lázaro |
| Sleet Esmeralda | THALLIUM | Coreia do Norte | Kimsuky, Velvet Chollima |
| Tufão de Linho | Storm-0919 | China | Panda Etéreo |
| Forest Blizzard | ESTRÔNCIO | Rússia | APT28, Urso Chique |
| Ghost Blizzard | BROMINE | Rússia | Urso Enérgico, Agachado Yeti |
| Tufão de Gingham | GADOLINIUM | China | APT40, Leviathan, TEMP. Periscópio, Panda-de-Kryptonite |
| Tufão de Granito | GÁLIO | China | |
| Tempestade de Areia Cinzenta | DEV-0343 | Irão | |
| Tempestade de Areia de Hazel | EUROPIUM | Irão | Cigano cobalto, APT34, OilRig |
| Jade Sleet | Tempestade-0954 | Coreia do Norte | TraderTraitor, UNC4899 |
| Tempestade de Renda | DEV-0950 | Motivações financeiras | FIN11, TA505 |
| Tempestade de Limão | RUBIDIUM | Irão | Gatinho-raposa, UNC757, PioneerKitten |
| Tufão leopardo | OPORTUNIDADE POTENCIAL | China | KAOS, Mana, Winnti, Red Diablo |
| Tufão Lilás | DEV-0234 | China | |
| Luna Tempest | Storm-0744 | Motivações financeiras | |
| Tempestade de Manatee | DEV-0243 | Motivações financeiras | EvilCorp, UNC2165, Indrik Spider |
| Tempestade de Areia de Mango | MERCÚRIO | Irão | MuddyWater, Seed Worm, Gatinho Estático, TEMP. Zagros |
| Pó em Mármore | SILICON | Türkiye | Tartaruga Marinha |
| Marigold Sandstorm | DEV-0500 | Irão | Pessoal de Moisés |
| Tempestade da Meia-Noite | NOBELIUM | Rússia | APT29, Urso Aconchegante |
| Tempestade de Areia de Menta | FÓSFORO | Irão | APT35, Gatinho Encantador |
| Granizo de Pedra Lunar | Tempestade-1789 | Coreia do Norte | |
| Tufão de Amoras | MANGANÉSIO | China | APT5, Keyhole Panda, TABCTENG |
| Tempestade de Mostarda | DEV-0206 | Motivações financeiras | Vallhund Púrpura |
| Tsunami Noturno | DEV-0336 | Ator ofensivo do setor privado | Grupo NSO |
| Tufão de Nylon | NÍQUEL | China | ke3chang, APT15, Vixen Panda |
| Octo Tempest | Storm-0875 | Motivações financeiras | 0ktapus, Aranha Dispersa, UNC3944 |
| Onyx Sleet | PLUTÓNIO | Coreia do Norte | APT45, Silent Chollima, Andariel, DarkSeoul |
| Opal Sleet | OSMIUM | Coreia do Norte | Konni |
| Tempestade de Areia de Pêssego | HOLMIUM | Irão | APT33, Gatinho Refinado |
| Pearl Sleet | DEV-0215 (LAWRENCIUM) | Coreia do Norte | |
| Tempestade Periwinkle | DEV-0193 | Motivações financeiras | Wizard Spider, UNC2053 |
| Tempestade Phlox | DEV-0796 | Motivações financeiras | ClickPirate, Chrome Loader, Choziosi loader |
| Tempestade de Areia Cor de Rosa | AMERICIUM | Irão | Agrius, Deadwood, BlackShadow, SharpBoys |
| Tempestade de Pistácio | DEV-0237 | Motivações financeiras | FIN12 |
| Chuva Xadrez | POLONIUM | Líbano | |
| Tempestade de Areia de Abóbora | DEV-0146 | Irão | ZeroCleare |
| Tufão Púrpura | POTÁSSIO | China | APT10, Cloudhopper, MenuPass |
| Tufão de Framboesa | RADIUM | China | APT30, LotusBlossom |
| Ruby Sleet | CERIUM | Coreia do Norte | |
| Inundação de Ruza | Storm-1099 | Rússia, Operações de influência | |
| Tufão de Salmão | SÓDIO | China | APT4, Maverick Panda |
| Tufão de Sal | China | GhostEmperor, FamousSparrow | |
| Sangria Tempest | ELBRUS | Motivações financeiras | Aranha-carbono, FIN7 |
| Safira Sleet | COPERNICIUM | Coreia do Norte | Genie Spider, BlueNoroff |
| Seashell Blizzard | IRIDIUM | Rússia | APT44, Minhoca |
| Blizzard Secreta | KRYPTON | Rússia | Urso Venenoso, Turla, Cobra |
| Inundação de Sefid | Tempestade-1364 | Irão, Operações de influência | |
| Tufão de Seda | HAFNIUM | China | |
| Tempestade de Areia de Fumo | BOHRIUM | Irão | UNC1549 |
| Spandex Tempest | CHIMBORAZO | Motivações financeiras | TA505 |
| Estrela Blizzard | SEABORGIUM | Rússia | Callisto, Reutilizar Equipa |
| Storm-0062 | China | DarkShadow, Oro0lxy | |
| Storm-0133 | Irão | LYCEUM, HEXANE | |
| Storm-0216 | Motivações financeiras | Aranha Torcida, UNC2198 | |
| Storm-0257 | Grupo em desenvolvimento | UNC1151 | |
| Storm-0324 | Motivações financeiras | TA543, Sagrid | |
| Storm-0381 | Motivações financeiras | ||
| Storm-0501 | Grupo em desenvolvimento | ||
| Storm-0506 | Grupo em desenvolvimento | ||
| Storm-0530 | Coreia do Norte | H0lyGh0st | |
| Storm-0539 | Motivações financeiras | Atlas Lion | |
| Storm-0569 | Motivações financeiras | ||
| Storm-0587 | Rússia | SaintBot, Santo Urso, TA471 | |
| Storm-0744 | Motivações financeiras | ||
| Storm-0784 | Irão | ||
| Storm-0829 | Grupo em desenvolvimento | Nwgen Team | |
| Storm-0835 | Grupo em desenvolvimento | EvilProxy | |
| Storm-0842 | Irão | ||
| Storm-0844 | Grupo em desenvolvimento | ||
| Storm-0861 | Irão | ||
| Storm-0867 | Egito | Cafeína | |
| Storm-0971 | Motivações financeiras | (Intercalado em Octo Tempest) | |
| Storm-0978 | Grupo em desenvolvimento | RomCom, Equipa Subterrânea | |
| Storm-1044 | Motivações financeiras | Danabot | |
| Storm-1084 | Irão | DarkBit | |
| Storm-1101 | Grupo em desenvolvimento | Páginas Nuas | |
| Tempestade-1113 | Motivações financeiras | ||
| Tempestade-1133 | Autoridade Palestina | ||
| Tempestade-1152 | Motivações financeiras | ||
| Tempestade-1167 | Indonésia | ||
| Tempestade-1175 | Motivações financeiras | ||
| Tempestade-1283 | Grupo em desenvolvimento | ||
| Tempestade-1286 | Grupo em desenvolvimento | ||
| Tempestade-1295 | Grupo em desenvolvimento | Grandeza | |
| Tempestade-1516 | Rússia, Operações de influência | ||
| Tempestade-1567 | Motivações financeiras | Akira | |
| Tempestade-1575 | Grupo em desenvolvimento | Dadsec | |
| Tempestade-1660 | Irão, Operações de influência | ||
| Tempestade-1674 | Motivações financeiras | ||
| Tempestade-1679 | Rússia, Operações de influência | ||
| Tempestade-1804 | Irão, Operações de influência | ||
| Storm-1805 | Irão, Operações de influência | ||
| Tempestade-1811 | Motivações financeiras | ||
| Tempestade-1841 | Rússia, Operações de influência | ||
| Tempestade-1849 | China | UAT4356 | |
| Tempestade-1852 | Grupo em desenvolvimento | ||
| Storm-2035 | Irão, Operações de influência | ||
| Tempestade de Morango | Motivações financeiras | LAPSUS$ | |
| Sunglow Blizzard | Rússia | ||
| Inundação de Taizi | Tempestade-1376 | China, Operações de influência | Spamouflage |
| Tempestade de Tomate | SPURR | Motivações financeiras | Nif |
| Tempestade de baunilha | DEV-0832 | Motivações financeiras | |
| Tempestade de Veludo | DEV-0504 | Motivações financeiras | |
| Tufão Violet | ZIRCONIUM | China | APT31 |
| Tufão Volt | China | SILHUETA DE BRONZE, VANGUARD PANDA | |
| Tempestade de Vinho | PARINACOTA | Motivações financeiras | Wadhrama |
| Wisteria Tsunami | DEV-0605 | Ator ofensivo do setor privado | CyberRoot |
| Granizo ziguezague | DUBNIUM | Coreia do Sul | Dark Hotel, Tapaoux |
Leia o nosso anúncio sobre a nova taxonomia para obter mais informações: https://aka.ms/threatactorsblog
Colocar inteligência nas mãos de profissionais de segurança
Os perfis da Intel no Informações sobre Ameaças do Microsoft Defender trazem informações cruciais sobre os atores de ameaças. Estas informações permitem que as equipas de segurança obtenham o contexto de que precisam à medida que se preparam e respondem a ameaças.
Além disso, a API Informações sobre Ameaças do Microsoft Defender Intel Profiles fornece a visibilidade de infraestrutura de ator de ameaças mais atualizada no setor atualmente. As informações atualizadas são cruciais para permitir que as equipas de operações de segurança e informações sobre ameaças (SecOps) simplifiquem os fluxos de trabalho avançados de investigação e análise de ameaças. Saiba mais sobre esta API na documentação: Utilizar as APIs de informações sobre ameaças no Microsoft Graph (pré-visualização).
Recursos
Utilize a seguinte consulta em Microsoft Defender XDR e outros produtos de segurança da Microsoft que suportem a linguagem de consulta Kusto (KQL) para obter informações sobre um ator de ameaças com o nome antigo, novo nome ou nome da indústria:
let TANames = externaldata(PreviousName: string, NewName: string, Origin: string, OtherNames: dynamic)[@"https://raw.githubusercontent.com/microsoft/mstic/master/PublicFeeds/ThreatActorNaming/MicrosoftMapping.json"] with(format="multijson", ingestionMapping='[{"Column":"PreviousName","Properties":{"Path":"$.Previous name"}},{"Column":"NewName","Properties":{"Path":"$.New name"}},{"Column":"Origin","Properties":{"Path":"$.Origin/Threat"}},{"Column":"OtherNames","Properties":{"Path":"$.Other names"}}]');
let GetThreatActorAlias = (Name: string) {
TANames
| where Name =~ NewName or Name =~ PreviousName or OtherNames has Name
};
GetThreatActorAlias("ZINC")
Os seguintes ficheiros que contêm o mapeamento abrangente de nomes de ator de ameaças antigos com os respetivos novos nomes também estão disponíveis: