Ler em inglês

Partilhar via


Como a Microsoft atribui nomes a atores de ameaças

A Microsoft utiliza uma taxonomia de nomenclatura para atores de ameaças alinhados com o tema das condições meteorológicas. Pretendemos trazer uma melhor clareza aos clientes e a outros investigadores de segurança com esta taxonomia. Oferecemos uma forma mais organizada, articulada e fácil de referenciar atores de ameaças para que as organizações possam priorizar e proteger-se melhor. Pretendemos também ajudar os investigadores de segurança, que já são confrontados com uma quantidade esmagadora de dados de informações sobre ameaças.

Atores do Estado-nação com base na nomenclatura da Microsoft

A Microsoft categoriza os atores de ameaças em cinco grupos-chave:

Atores do Estado-nação: operadores cibernéticos agindo em nome ou dirigidos por um programa alinhado com a nação/Estado, independentemente de espionagem, ganho financeiro ou retribuição. A Microsoft observou que a maioria dos atores estatais nacionais continua a concentrar operações e ataques a agências governamentais, organizações intergovernamentais, organizações não governamentais e think tanks para objetivos tradicionais de espionagem ou vigilância.

Atores com motivações financeiras: campanhas/grupos cibernéticos dirigidos por uma organização/pessoa criminosa com motivações de ganhos financeiros e não estão associados a alta confiança a uma entidade comercial ou estatal conhecida. Esta categoria inclui operadores de ransomware, comprometimento de e-mail empresarial, phishing e outros grupos com motivações puramente financeiras ou extorsão.

Atores ofensivos do setor privado (PSOAs): atividade cibernética liderada por atores comerciais que são entidades legais conhecidas/legítimas, que criam e vendem armas cibernéticas a clientes que depois selecionam alvos e operam as armas cibernéticas. Estes instrumentos foram observados visando e vigiando dissidentes, defensores dos direitos humanos, jornalistas, defensores da sociedade civil e outros cidadãos privados, ameaçando muitos esforços globais em defesa dos direitos humanos.

Operações de influência: campanhas de informação comunicadas online ou offline de forma manipuladora para mudar percepções, comportamentos ou decisões por audiências-alvo para promover os interesses e objetivos de um grupo ou de uma nação.

Grupos em desenvolvimento: uma designação temporária atribuída a uma atividade de ameaças desconhecida, emergente ou em desenvolvimento. Esta designação permite que a Microsoft controle um grupo como um conjunto discreto de informações até que possamos alcançar uma confiança elevada sobre a origem ou identidade do ator por detrás da operação. Assim que os critérios forem cumpridos, um grupo em desenvolvimento é convertido num ator nomeado ou intercalado em nomes existentes.

Nesta taxonomia, um evento meteorológico ou nome de família representa uma das categorias acima. Para os atores do Estado-nação, atribuímos um nome de família a um país/região de origem ligado à atribuição. Por exemplo, Tufão indica origem ou atribuição à China. Para outros atores, o nome da família representa uma motivação. Por exemplo, Tempest indica atores com motivações financeiras.

Os atores de ameaças dentro da mesma família meteorológica recebem um adjetivo para distinguir grupos de ator com táticas, técnicas e procedimentos distintos (TTPs), infraestrutura, objetivos ou outros padrões identificados. Para grupos em desenvolvimento, utilizamos uma designação temporária do Storm e um número de quatro dígitos onde existe um cluster de atividade de ameaças recentemente detetado, desconhecido, emergente ou em desenvolvimento.

A tabela seguinte mostra como os nomes de família mapeiam para os atores de ameaças que controlamos.

Categoria de ator de ameaças Tipo Nome da família
Estado-nação China
Irão
Líbano
Coreia do Norte
Rússia
Coreia do Sul
Turquia
Vietname
Tufão
Tempestade de areia
Chuva
Sleet
Blizzard
Granizo

Ciclone
Motivações financeiras Motivações financeiras Tempestade
Atores ofensivos do setor privado PSOAs Tsunami
Operações de influência Operações de influência Inundação
Grupos em desenvolvimento Grupos em desenvolvimento Tempestade

A tabela seguinte lista os nomes de ator de ameaças divulgados publicamente com a respetiva categoria de origem ou ator de ameaças, nomes anteriores e nomes correspondentes utilizados por outros fornecedores de segurança, sempre que disponíveis. Esta página será atualizada à medida que estiverem disponíveis mais informações sobre os nomes de outros fornecedores.

Nome do ator de ameaças Categoria de ator de origem/ameaça Outros nomes
Chuva Ametista Líbano Cedro Volátil
Tufão Antigo China Storm-0558
Aqua Blizzard Rússia ACTINIUM, Gamaredon, Armageddon, UNC530, shuckworm, SectorC08, Urso Primitivo
Tsunami Azul Israel, ator ofensivo do sector privado
Tufão de Latão China BARIUM, APT41
Tufão de Brocado China BORON, UPS, Panda Gótico, APT3, OLDCARP, TG-0110, Red Sylvan, CYBRAN
Tempestade de Areia da Borgonha Irão Cadelle, Chafer
Cadete Blizzard Rússia DEV-0586
Tufão Canário China CIRCUIT PANDA, APT24, Palmerworm, BlackTech
Ciclone de Tela Vietname BISMUTH, OceanLotus, APT32
Tsunami de Caramelo Israel, ator ofensivo do sector privado DEV-0236
Carmine Tsunami Ator ofensivo do setor privado
Tufão de carvão China CHROMIUM, ControlX, Panda Aquático, RedHotel, UNIVERSIDADE DE BRONZE
Tufões axadificados China CLORO, ATG50, APT19, TG-3551, PANDA PROFUNDO, Gargoíle Vermelho
Tempestade de Canela China, com motivação financeira DEV-0401
Tufões circulares China DEV-0322, APT6, APT27
Citrine Sleet Coreia do Norte DEV-0139, Storm-0139, Storm-1222, DEV-1222
Tempestade de Areia de Algodão Irão NEPTUNIUM, Vice Leaker, Gatinho Haywire
Tufão Crescente China CESIUM
Tempestade de Areia Carmesim Irão CURIUM, Shell de Tartaruga, HOUSEBLEND, TA456
Tempestade de Areia Cuboid Irão DEV-0228
Tsunami de Ganga Áustria, ator ofensivo do sector privado DEV-0291
Sleet de Diamante Coreia do Norte ZINC, Artemis Negro, Labirinto Chollima, Lázaro
Sleet Esmeralda Coreia do Norte THALLIUM, RGB-D5, Black Banshee, Kimsuky, Greendinosa, VELVET CHOLLIMA
Fallow Squall Singapura PLATINA, PARASITA, RUBYVINE, GINGERSNAP
Tufão de Linho China Storm-0919, ETHEREAL PANDA
Forest Blizzard Rússia STRONTIUM, Sednit, ATG2, Sofacy, FANCY BEAR, Blue Athena, Z-Lom Team, Operation Pawn Storm, Tsar Team, CrisisFour, HELLFIRE, APT28
Ghost Blizzard Rússia BROMINE, TG-4192, Koala Team, ENERGETIC BEAR, Blue Kraken, Crouching Yeti, Dragonfly
Tufão de Gingham China GADOLINIUM, TEMP. Periscópio, Leviathan, JJDoor, APT40, Feverdream
Tufão de Granito China GÁLIO
Tempestade de Areia Cinzenta Irão DEV-0343
Tempestade de Areia de Hazel Irão EUROPIUM, COLBALT GYPSY, Crambus, OilRig, APT34
Tufões cardíacos China HELIUM, APT17, Hidden Lynx, ATG3, Red Typhon, KAOS, TG-8153, SportsFans, DeputyDog, AURORA PANDA, Tailgater
Tufão de Hexágono China HIDROGÉNIO, Equipa de Cálculo, Anubis Vermelho, APT12, DNS-Calc, HORDE, PANDA NUMERADO
Tufão Houndstooth China HASSIUM, isoon, deepclif
Jade Sleet Coreia do Norte Tempestade-0954
Tempestade de Renda Motivações financeiras DEV-0950
Tempestade de Limão Irão RUBIDIUM
Tufão leopardo China LEAD, TG-2633, TG-3279, Mana, KAOS, Red Diablo, Winnti Group
Tufão Lilás China DEV-0234
Tufão de Linha China IODINE, Red Phoenix, Hipopótamo, Lucky Mouse, EMISSARY PANDA, BOWSER, APT27, Wekby2, UNC215, TG-3390
Luna Tempest Motivações financeiras
Pó de Magenta Türkiye PROMETHIUM, StrongPity, SmallPity
Tempestade de Manatee Rússia
Tempestade de Areia de Mango Irão MERCURY, Seed Worm, GATINHO ESTÁTICO, TEMP. Zagros, MuddyWater
Pó em Mármore Türkiye SILICON, Tartaruga Marinha, UNC1326
Marigold Sandstorm Irão DEV-500
Tempestade da Meia-Noite Rússia NOBELIUM, UNC2452, APT29, Urso Aconchegante
Tempestade de Areia de Menta Irão PHOSPHORUS, Parastoo, Newscaster, APT35, Charming Kitten
Granizo de Pedra Lunar Coreia do Norte Tempestade-1789
Tufão de Amoras China MANGANESE, Backdoor-DPD, COVENANT, CYSERVICE, Bottle, Red Horus, Red Naga, Auriga, KEYHOLE PANDA, APT5, ATG48, TG-2754, tabcteng
Tempestade de Mostarda Motivações financeiras DEV-0206
Tsunami Noturno Israel DEV-0336
Tufão de Nylon China NICKEL, Playful Dragon, RedRiver, ke3chang, VIXEN PANDA, APT15, Mirage
Octo Tempest Motivações financeiras 0ktapus, Aranha Dispersa
Onyx Sleet Coreia do Norte PLUTONIUM, StoneFly, campanha Tdrop2, DarkSeoul, Black Chollima, SILENT CHOLLIMA, Andariel, APT45
Opal Sleet Coreia do Norte OSMIUM, Planedown, Konni, APT43
Tempestade de Areia de Pêssego Irão HOLMIUM, APT33, Elfin, GATINHO REFINADO
Pearl Sleet Coreia do Norte LAWRENCIUM
Tempestade Periwinkle Rússia DEV-0193
Tempestade Phlox Israel, com motivação financeira DEV-0796
Tempestade de Areia Cor de Rosa Irão AMERICIUM, Agrius, Deadwood, BlackShadow, SharpBoys, FireAnt, Justice Blade
Pinstripe Lightning NIOBIUM, Falcões do Deserto, Scimitar, Árido Víbora
Tempestade de Pistácio Motivações financeiras DEV-0237
Chuva Xadrez Líbano POLONIUM
Tempestade de Areia de Abóbora Irão DEV-0146
Tufão Púrpura China POTASSIUM, GOLEM, Evilgrab, AEON, LIVESAFE, ChChes, APT10, Haymaker, Webmonder, STONE PANDA, Foxtrot, Foxmail, MenuPass, Red Apollo
Tufão de Framboesa China RADIUM, LotusBlossom, APT30
Ruby Sleet Coreia do Norte CERIUM
Inundação de Ruza Rússia, Operações de influência
Tufão de Salmão China SÓDIO, APT4, MAVERICK PANDA
Tufão de Sal China GhostEmperor, FamousSparrow
Sangria Tempest Ucrânia, Com motivação financeira ELBRUS
Safira Sleet Coreia do Norte COPERNICIUM, Genie Spider, BlueNoroff, CageyChameleon, CryptoCore
Tufão de Cetim China SCANDIUM, COMBINE, TG-0416, SILVERVIPER, DYNAMITE PANDA, Red Wraith, APT18, Elderwood Group, Wekby
Seashell Blizzard Rússia IRIDIUM, BE2, UAC-0113, Blue Echidna, Sandworm, PHANTOM, BlackEnergy Lite, APT44
Blizzard Secreta Rússia KRYPTON, URSO VENENOSO, Uroburos, Cobra, Python Azul, Turla, WRAITH, ATG26
Inundação de Sefid Irão, Operações de influência
Tufão Sombra China DarkShadow, Oro0lxy
Tufão de Seda China HAFNIUM, timmy
Tempestade de Areia de Fumo Irão UNC1549
Spandex Tempest Motivações financeiras TA505
Tempestade de Areia Manchada NEODYMIUM, BlackOasis
Estrela Blizzard Rússia SEABORGIUM, COLDRIVER, Callisto Group, BlueCharlie, TA446
Storm-0216 Motivações financeiras Aranha Torcida, UNC2198
Storm-0230 Grupo em desenvolvimento Conti Team 1, DEV-0230
Storm-0247 China ToddyCat, Websiic
Storm-0288 Grupo em desenvolvimento FIN8
Storm-0302 Grupo em desenvolvimento Narwhal Spider, TA544
Storm-0501 Motivações financeiras DEV-0501
Storm-0538 Grupo em desenvolvimento FIN6
Storm-0539 Motivações financeiras
Storm-0569 Motivações financeiras DEV-0569
Storm-0671 Grupo em desenvolvimento UNC2596, Tropicalscorpius
Storm-0940 China
Storm-0978 Rússia RomCom, Equipa Subterrânea
Storm-1101 Grupo em desenvolvimento
Tempestade-1113 Motivações financeiras
Tempestade-1152 Motivações financeiras
Tempestade-1175 China, com motivação financeira
Tempestade-1194 Grupo em desenvolvimento MONTI
Tempestade-1516 Rússia, Operações de influência
Tempestade-1567 Motivações financeiras
Tempestade-1674 Motivações financeiras
Tempestade-1679 Operações de influência
Tempestade-1811 Motivações financeiras
Tempestade-1982 China SneakyCheff, UNK_SweetSpecter
Storm-2035 Irão, Operações de influência
Storm-2077 China TAG-100
Tempestade de Morango Motivações financeiras DEV-0537, LAPSUS$
Sunglow Blizzard DEV-0665
Turbilhão de Redemoinho China TELLURIUM, Tick, Mordomo de Bronze, REDBALDKNIGHT
Taffeta Tufão China TECHNETIUM, TG-0055, Red Kobold, JerseyMikes, APT26, BEARCLAW
Inundação de Taizi China, Operações de influência Dragonbridge, Spamouflage
Tufão Tumbleweed China THORIUM, Karst
Twill Tufão China TANTALUM, PRESIDENTE DO BRONZE, LuminousMoth, MUSTANG PANDA
Tempestade de baunilha Motivações financeiras DEV-0832, Vice Society
Tempestade de Veludo Motivações financeiras DEV-0504
Tufão Violet China ZIRCONIUM, Chameleon, APT31, WebFans
Inundação de Volga Rússia, Operações de influência Storm-1841, Rybar
Tufão Volt China SILHUETA DE BRONZE, VANGUARD PANDA
Tempestade de Trigo Motivações financeiras GOLD, Gatak
Wisteria Tsunami Índia, ator ofensivo do setor privado DEV-0605
Granizo ziguezague Coreia DUBNIUM, Nemim, TEMPLAR, TieOnJoe, Fallout Team, Purple Pygmy, Dark Hotel, Egobot, Tapaoux, PALADIN, Darkhotel

Leia o nosso anúncio sobre esta taxonomia para obter mais informações: https://aka.ms/threatactorsblog

Colocar inteligência nas mãos de profissionais de segurança

Os perfis da Intel no Informações sobre Ameaças do Microsoft Defender trazem informações cruciais sobre os atores de ameaças. Estas informações permitem que as equipas de segurança obtenham o contexto de que precisam à medida que se preparam e respondem a ameaças.

Além disso, a API Informações sobre Ameaças do Microsoft Defender Intel Profiles fornece a visibilidade de infraestrutura de ator de ameaças mais atualizada no setor atualmente. As informações atualizadas são cruciais para permitir que as equipas de operações de segurança e informações sobre ameaças (SecOps) simplifiquem os fluxos de trabalho avançados de investigação e análise de ameaças. Saiba mais sobre esta API na documentação: Utilizar as APIs de informações sobre ameaças no Microsoft Graph (pré-visualização).

Recursos

Utilize a seguinte consulta em Microsoft Defender XDR e outros produtos de segurança da Microsoft que suportem a linguagem de consulta Kusto (KQL) para obter informações sobre um ator de ameaças com o nome antigo, novo nome ou nome da indústria:

let TANames = externaldata(PreviousName: string, NewName: string, Origin: string, OtherNames: dynamic)[@"https://raw.githubusercontent.com/microsoft/mstic/master/PublicFeeds/ThreatActorNaming/MicrosoftMapping.json"] with(format="multijson", ingestionMapping='[{"Column":"PreviousName","Properties":{"Path":"$.Previous name"}},{"Column":"NewName","Properties":{"Path":"$.New name"}},{"Column":"Origin","Properties":{"Path":"$.Origin/Threat"}},{"Column":"OtherNames","Properties":{"Path":"$.Other names"}}]'); 
let GetThreatActorAlias = (Name: string) { 
TANames 
| where Name =~ NewName or Name =~ PreviousName or OtherNames has Name 
}; 
GetThreatActorAlias("ZINC")

Os seguintes ficheiros que contêm o mapeamento abrangente de nomes de ator de ameaças antigos com os respetivos novos nomes também estão disponíveis: