Como a Microsoft atribui nomes a atores de ameaças

A Microsoft mudou para uma nova taxonomia de nomenclatura para atores de ameaças alinhada com o tema do clima. Pretendemos trazer uma melhor clareza aos clientes e a outros investigadores de segurança com a nova taxonomia. Oferecemos uma forma mais organizada, articulada e fácil de referenciar atores de ameaças para que as organizações possam priorizar e proteger-se melhor e ajudar os investigadores de segurança já confrontados com uma quantidade esmagadora de dados de informações sobre ameaças.

Atores do Estado-nação com base na nomenclatura da Microsoft

A Microsoft categoriza os atores de ameaças em cinco grupos-chave:

Atores do Estado-nação: operadores cibernéticos agindo em nome ou dirigidos por um programa alinhado com a nação/Estado, independentemente de espionagem, ganho financeiro ou retribuição. A Microsoft observou que a maioria dos atores estatais nacionais continua a concentrar operações e ataques a agências governamentais, organizações intergovernamentais, organizações não governamentais e think tanks para objetivos tradicionais de espionagem ou vigilância.

Atores com motivações financeiras: campanhas/grupos cibernéticos dirigidos por uma organização/pessoa criminosa com motivações de ganhos financeiros e não estão associados a elevada confiança a um estado de não-nação conhecido ou a uma entidade comercial. Esta categoria inclui operadores de ransomware, comprometimento de e-mail empresarial, phishing e outros grupos com motivações puramente financeiras ou extorsão.

Atores ofensivos do setor privado (PSOAs): atividade cibernética liderada por atores comerciais que são entidades legais conhecidas/legítimas, que criam e vendem armas cibernéticas a clientes que depois selecionam alvos e operam as armas cibernéticas. Estes instrumentos foram observados visando e vigiando dissidentes, defensores dos direitos humanos, jornalistas, defensores da sociedade civil e outros cidadãos privados, ameaçando muitos esforços globais em defesa dos direitos humanos.

Operações de influência: campanhas de informação comunicadas online ou offline de forma manipuladora para mudar percepções, comportamentos ou decisões por audiências-alvo para promover os interesses e objetivos de um grupo ou de uma nação.

Grupos em desenvolvimento: uma designação temporária atribuída a uma atividade de ameaças desconhecida, emergente ou em desenvolvimento. Esta designação permite que a Microsoft controle um grupo como um conjunto discreto de informações até que possamos alcançar uma confiança elevada sobre a origem ou identidade do ator por detrás da operação. Assim que os critérios forem cumpridos, um grupo em desenvolvimento é convertido num ator nomeado ou intercalado em nomes existentes.

Na nossa nova taxonomia, um evento meteorológico ou nome de família representa uma das categorias acima. Para actores do Estado-nação, atribuímos um nome de família a um país/região de origem ligado à atribuição, como Tufão indica origem ou atribuição à China. Para outros atores, o nome da família representa uma motivação. Por exemplo, Tempest indica atores com motivações financeiras.

Os atores de ameaças dentro da mesma família meteorológica recebem um adjetivo para distinguir grupos de ator com táticas, técnicas e procedimentos distintos (TTPs), infraestrutura, objetivos ou outros padrões identificados. Para grupos em desenvolvimento, utilizamos uma designação temporária do Storm e um número de quatro dígitos onde existe um cluster de atividade de ameaças recentemente detetado, desconhecido, emergente ou em desenvolvimento.

A tabela mostra como os novos nomes de família mapeiam para os atores de ameaças que controlamos.

Categoria de ator Tipo Nome da família
Estado-nação China
Irão
Líbano
Coreia do Norte
Rússia
Coreia do Sul
Turquia
Vietname
Tufão
Tempestade de areia
Chuva
Sleet
Blizzard
Granizo

Ciclone
Motivações financeiras Motivações financeiras Tempestade
Atores ofensivos do setor privado PSOAs Tsunami
Operações de influência Operações de influência Inundação
Grupos em desenvolvimento Grupos em desenvolvimento Tempestade

Utilize a seguinte tabela de referência para compreender como os nossos nomes de ator de ameaças anteriormente divulgados publicamente se traduzem na nossa nova taxonomia.

Nome do ator de ameaças Nome anterior Origem/Ameaça Outros nomes
Tufão Antigo Storm-0558 China
Aqua Blizzard ACTINIUM Rússia UNC530, Urso Primitivo, Gamaredon
Tsunami Azul Ator ofensivo do setor privado Cubo Preto
Tufão de Latão BARIUM China APT41
Cadete Blizzard DEV-0586 Rússia
Tempestade de Camuflagem TAAL Motivações financeiras FIN6, Esqueleto De Aranha
Ciclone de Tela BISMUTH Vietname APT32, OceanLotus
Tsunami de Caramelo SOURGUM Ator ofensivo do setor privado Candiru
Carmine Tsunami DEV-0196 Ator ofensivo do setor privado QuaDream
Tufão de carvão CHROMIUM China ControloX
Tempestade de Canela DEV-0401 Motivações financeiras Imperador Libélula, Estrela de Bronze
Tufões circulares DEV-0322 China
Citrine Sleet DEV-0139, DEV-1222 Coreia do Norte AppleJeus, Labyrinth Chollima, UNC4736
Tempestade de Areia de Algodão DEV-0198 (NEPTUNIUM) Irão Vice Leaker
Tempestade de Areia Carmesim CURIUM Irão TA456, Casca de Tartaruga
Tempestade de Areia Cuboid DEV-0228 Irão
Tsunami de Ganga KNOTWEED Ator ofensivo do setor privado DSIRF
Sleet de Diamante ZINCO Coreia do Norte Labyrinth Chollima, Lázaro
Sleet Esmeralda THALLIUM Coreia do Norte Kimsuky, Velvet Chollima
Tufão de Linho Storm-0919 China Panda Etéreo
Forest Blizzard ESTRÔNCIO Rússia APT28, Urso Chique
Ghost Blizzard BROMINE Rússia Urso Enérgico, Agachado Yeti
Tufão de Gingham GADOLINIUM China APT40, Leviathan, TEMP. Periscópio, Panda-de-Kryptonite
Tufão de Granito GÁLIO China
Tempestade de Areia Cinzenta DEV-0343 Irão
Tempestade de Areia de Hazel EUROPIUM Irão Cigano cobalto, APT34, OilRig
Jade Sleet Tempestade-0954 Coreia do Norte TraderTraitor, UNC4899
Tempestade de Renda DEV-0950 Motivações financeiras FIN11, TA505
Tempestade de Limão RUBIDIUM Irão Gatinho-raposa, UNC757, PioneerKitten
Tufão leopardo OPORTUNIDADE POTENCIAL China KAOS, Mana, Winnti, Red Diablo
Tufão Lilás DEV-0234 China
Luna Tempest Storm-0744 Motivações financeiras
Tempestade de Manatee DEV-0243 Motivações financeiras EvilCorp, UNC2165, Indrik Spider
Tempestade de Areia de Mango MERCÚRIO Irão MuddyWater, Seed Worm, Gatinho Estático, TEMP. Zagros
Pó em Mármore SILICON Türkiye Tartaruga Marinha
Marigold Sandstorm DEV-0500 Irão Pessoal de Moisés
Tempestade da Meia-Noite NOBELIUM Rússia APT29, Urso Aconchegante
Tempestade de Areia de Menta FÓSFORO Irão APT35, Gatinho Encantador
Granizo de Pedra Lunar Tempestade-1789 Coreia do Norte
Tufão de Amoras MANGANÉSIO China APT5, Keyhole Panda, TABCTENG
Tempestade de Mostarda DEV-0206 Motivações financeiras Vallhund Púrpura
Tsunami Noturno DEV-0336 Ator ofensivo do setor privado Grupo NSO
Tufão de Nylon NÍQUEL China ke3chang, APT15, Vixen Panda
Octo Tempest Storm-0875 Motivações financeiras 0ktapus, Aranha Dispersa, UNC3944
Onyx Sleet PLUTÓNIO Coreia do Norte APT45, Silent Chollima, Andariel, DarkSeoul
Opal Sleet OSMIUM Coreia do Norte Konni
Tempestade de Areia de Pêssego HOLMIUM Irão APT33, Gatinho Refinado
Pearl Sleet DEV-0215 (LAWRENCIUM) Coreia do Norte
Tempestade Periwinkle DEV-0193 Motivações financeiras Wizard Spider, UNC2053
Tempestade Phlox DEV-0796 Motivações financeiras ClickPirate, Chrome Loader, Choziosi loader
Tempestade de Areia Cor de Rosa AMERICIUM Irão Agrius, Deadwood, BlackShadow, SharpBoys
Tempestade de Pistácio DEV-0237 Motivações financeiras FIN12
Chuva Xadrez POLONIUM Líbano
Tempestade de Areia de Abóbora DEV-0146 Irão ZeroCleare
Tufão Púrpura POTÁSSIO China APT10, Cloudhopper, MenuPass
Tufão de Framboesa RADIUM China APT30, LotusBlossom
Ruby Sleet CERIUM Coreia do Norte
Inundação de Ruza Storm-1099 Rússia, Operações de influência
Tufão de Salmão SÓDIO China APT4, Maverick Panda
Tufão de Sal China GhostEmperor, FamousSparrow
Sangria Tempest ELBRUS Motivações financeiras Aranha-carbono, FIN7
Safira Sleet COPERNICIUM Coreia do Norte Genie Spider, BlueNoroff
Seashell Blizzard IRIDIUM Rússia APT44, Minhoca
Blizzard Secreta KRYPTON Rússia Urso Venenoso, Turla, Cobra
Inundação de Sefid Tempestade-1364 Irão, Operações de influência
Tufão de Seda HAFNIUM China
Tempestade de Areia de Fumo BOHRIUM Irão UNC1549
Spandex Tempest CHIMBORAZO Motivações financeiras TA505
Estrela Blizzard SEABORGIUM Rússia Callisto, Reutilizar Equipa
Storm-0062 China DarkShadow, Oro0lxy
Storm-0133 Irão LYCEUM, HEXANE
Storm-0216 Motivações financeiras Aranha Torcida, UNC2198
Storm-0257 Grupo em desenvolvimento UNC1151
Storm-0324 Motivações financeiras TA543, Sagrid
Storm-0381 Motivações financeiras
Storm-0501 Grupo em desenvolvimento
Storm-0506 Grupo em desenvolvimento
Storm-0530 Coreia do Norte H0lyGh0st
Storm-0539 Motivações financeiras Atlas Lion
Storm-0569 Motivações financeiras
Storm-0587 Rússia SaintBot, Santo Urso, TA471
Storm-0744 Motivações financeiras
Storm-0784 Irão
Storm-0829 Grupo em desenvolvimento Nwgen Team
Storm-0835 Grupo em desenvolvimento EvilProxy
Storm-0842 Irão
Storm-0844 Grupo em desenvolvimento
Storm-0861 Irão
Storm-0867 Egito Cafeína
Storm-0971 Motivações financeiras (Intercalado em Octo Tempest)
Storm-0978 Grupo em desenvolvimento RomCom, Equipa Subterrânea
Storm-1044 Motivações financeiras Danabot
Storm-1084 Irão DarkBit
Storm-1101 Grupo em desenvolvimento Páginas Nuas
Tempestade-1113 Motivações financeiras
Tempestade-1133 Autoridade Palestiniana
Tempestade-1152 Motivações financeiras
Tempestade-1167 Indonésia
Tempestade-1175 Motivações financeiras
Tempestade-1283 Grupo em desenvolvimento
Tempestade-1286 Grupo em desenvolvimento
Tempestade-1295 Grupo em desenvolvimento Grandeza
Tempestade-1516 Rússia, Operações de influência
Tempestade-1567 Motivações financeiras Akira
Tempestade-1575 Grupo em desenvolvimento Dadsec
Tempestade-1660 Irão, Operações de influência
Tempestade-1674 Motivações financeiras
Tempestade-1679 Rússia, Operações de influência
Tempestade-1804 Irão, Operações de influência
Storm-1805 Irão, Operações de influência
Tempestade-1811 Motivações financeiras
Tempestade-1841 Rússia, Operações de influência
Tempestade-1849 China UAT4356
Tempestade-1852 Grupo em desenvolvimento
Storm-2035 Irão, Operações de influência
Tempestade de Morango Motivações financeiras LAPSUS$
Sunglow Blizzard Rússia
Inundação de Taizi Tempestade-1376 China, Operações de influência Spamouflage
Tempestade de Tomate SPURR Motivações financeiras Nif
Tempestade de baunilha DEV-0832 Motivações financeiras
Tempestade de Veludo DEV-0504 Motivações financeiras
Tufão Violet ZIRCONIUM China APT31
Tufão Volt China SILHUETA DE BRONZE, VANGUARD PANDA
Tempestade de Vinho PARINACOTA Motivações financeiras Wadhrama
Wisteria Tsunami DEV-0605 Ator ofensivo do setor privado CyberRoot
Granizo ziguezague DUBNIUM Coreia do Sul Dark Hotel, Tapaoux

Leia o nosso anúncio sobre a nova taxonomia para obter mais informações: https://aka.ms/threatactorsblog

Colocar inteligência nas mãos de profissionais de segurança

Os perfis da Intel no Informações sobre Ameaças do Microsoft Defender trazem informações cruciais sobre os atores de ameaças. Estas informações permitem que as equipas de segurança obtenham o contexto de que precisam à medida que se preparam e respondem a ameaças.

Além disso, a API Informações sobre Ameaças do Microsoft Defender Intel Profiles fornece a visibilidade de infraestrutura de ator de ameaças mais atualizada no setor atualmente. As informações atualizadas são cruciais para permitir que as equipas de operações de segurança e informações sobre ameaças (SecOps) simplifiquem os fluxos de trabalho avançados de investigação e análise de ameaças. Saiba mais sobre esta API na documentação: Utilizar as APIs de informações sobre ameaças no Microsoft Graph (pré-visualização).

Recursos

Utilize a seguinte consulta em Microsoft Defender XDR e outros produtos de segurança da Microsoft que suportem a linguagem de consulta Kusto (KQL) para obter informações sobre um ator de ameaças com o nome antigo, novo nome ou nome da indústria:

let TANames = externaldata(PreviousName: string, NewName: string, Origin: string, OtherNames: dynamic)[@"https://raw.githubusercontent.com/microsoft/mstic/master/PublicFeeds/ThreatActorNaming/MicrosoftMapping.json"] with(format="multijson", ingestionMapping='[{"Column":"PreviousName","Properties":{"Path":"$.Previous name"}},{"Column":"NewName","Properties":{"Path":"$.New name"}},{"Column":"Origin","Properties":{"Path":"$.Origin/Threat"}},{"Column":"OtherNames","Properties":{"Path":"$.Other names"}}]'); 
let GetThreatActorAlias = (Name: string) { 
TANames 
| where Name =~ NewName or Name =~ PreviousName or OtherNames has Name 
}; 
GetThreatActorAlias("ZINC")

Os seguintes ficheiros que contêm o mapeamento abrangente de nomes de ator de ameaças antigos com os respetivos novos nomes também estão disponíveis: