Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A Microsoft utiliza uma taxonomia de nomenclatura para atores de ameaças alinhados com o tema das condições meteorológicas. Pretendemos trazer uma melhor clareza aos clientes e a outros investigadores de segurança com esta taxonomia. Oferecemos uma forma mais organizada, articulada e fácil de referenciar atores de ameaças para que as organizações possam priorizar e proteger-se melhor. Pretendemos também ajudar os investigadores de segurança, que já são confrontados com uma quantidade esmagadora de dados de informações sobre ameaças.
A Microsoft categoriza os atores de ameaças em cinco grupos-chave:
Atores do Estado-nação: operadores cibernéticos agindo em nome ou dirigidos por um programa alinhado com a nação/Estado, independentemente de espionagem, ganho financeiro ou retribuição. A Microsoft observou que a maioria dos atores estatais nacionais continua a concentrar operações e ataques a agências governamentais, organizações intergovernamentais, organizações não governamentais e think tanks para objetivos tradicionais de espionagem ou vigilância.
Atores com motivações financeiras: campanhas/grupos cibernéticos dirigidos por uma organização/pessoa criminosa com motivações de ganhos financeiros e não estão associados a alta confiança a uma entidade comercial ou estatal conhecida. Esta categoria inclui operadores de ransomware, comprometimento de e-mail empresarial, phishing e outros grupos com motivações puramente financeiras ou extorsão.
Atores ofensivos do setor privado (PSOAs): atividade cibernética liderada por atores comerciais que são entidades legais conhecidas/legítimas, que criam e vendem armas cibernéticas a clientes que depois selecionam alvos e operam as armas cibernéticas. Estes instrumentos foram observados visando e vigiando dissidentes, defensores dos direitos humanos, jornalistas, defensores da sociedade civil e outros cidadãos privados, ameaçando muitos esforços globais em defesa dos direitos humanos.
Operações de influência: campanhas de informação comunicadas online ou offline de forma manipuladora para mudar percepções, comportamentos ou decisões por audiências-alvo para promover os interesses e objetivos de um grupo ou de uma nação.
Grupos em desenvolvimento: uma designação temporária atribuída a uma atividade de ameaças desconhecida, emergente ou em desenvolvimento. Esta designação permite que a Microsoft controle um grupo como um conjunto discreto de informações até que possamos alcançar uma confiança elevada sobre a origem ou identidade do ator por detrás da operação. Assim que os critérios forem cumpridos, um grupo em desenvolvimento é convertido num ator nomeado ou intercalado em nomes existentes.
Nesta taxonomia, um evento meteorológico ou nome de família representa uma das categorias acima. Para os atores do Estado-nação, atribuímos um nome de família a um país/região de origem ligado à atribuição. Por exemplo, Tufão indica origem ou atribuição à China. Para outros atores, o nome da família representa uma motivação. Por exemplo, Tempest indica atores com motivações financeiras.
Os atores de ameaças dentro da mesma família meteorológica recebem um adjetivo para distinguir grupos de ator com táticas, técnicas e procedimentos distintos (TTPs), infraestrutura, objetivos ou outros padrões identificados. Para grupos em desenvolvimento, utilizamos uma designação temporária do Storm e um número de quatro dígitos onde existe um cluster de atividade de ameaças recentemente detetado, desconhecido, emergente ou em desenvolvimento.
A tabela seguinte mostra como os nomes de família mapeiam para os atores de ameaças que controlamos.
| Categoria de ator de ameaças | Origem/Tipo | Nome da família |
|---|---|---|
| Estado-nação | Austrália Canadá China Alemanha Índia Irão Israel Nova Zelândia Coreia do Norte Líbano Paquistão Autoridade Palestina Rússia Cingapura Coreia do Sul Espanha Síria Türkiye Ucrânia Emirados Árabes Unidos Reino Unido Estados Unidos Vietnã |
Waterspout Fixar Tufão Vendaval Monção Tempestade de areia Onda de calor Ondular Sleet Chuva Turbilhão Relâmpagos Blizzard Squall Granizo Derecho Neblina Pó Geada Rajada Nevoeiro Tornado Ciclone |
| Motivações financeiras | Motivações financeiras | Tempestade |
| Atores ofensivos do setor privado | PSOAs | Tsunami |
| Operações de influência | Operações de influência | Inundação |
| Grupos em desenvolvimento | Grupos em desenvolvimento | Tempestade |
A tabela seguinte lista os nomes de ator de ameaças divulgados publicamente com a respetiva categoria de origem ou ator de ameaças, nomes anteriores e nomes correspondentes utilizados por outros fornecedores de segurança, sempre que disponíveis. Esta página será atualizada à medida que estiverem disponíveis mais informações sobre os nomes de outros fornecedores.
| Nome do ator de ameaças | Categoria de ator de origem/ameaça | Outros nomes |
|---|---|---|
| Chuva Ametista | Líbano | VolcanicTimber, Cedro Volátil |
| Tufão Antigo | China | Storm-0558 |
| Aqua Blizzard | Rússia | ACTINIUM, PRIMITIVE BEAR, Gamaredon, Armageddon, UNC530, shuckworm, SectorC08 |
| Tempestade de Areia de Baga | Irão | Storm-0852 |
| Tsunami Azul | Israel, ator ofensivo do sector privado | |
| Tufão de Latão | China | BARIUM, WICKED PANDA, APT41 |
| Tufão de Brocado | China | BORON, PANDA GÓTICO, UPS, APT3, OLDCARP, TG-0110, Red Sylvan, CYBRAN |
| Tempestade de Areia da Borgonha | Irão | REMIX KITTEN, Cadelle, Chafer |
| Cadete Blizzard | Rússia | DEV-0586, URSO-MEMBRO |
| Tufão Canário | China | CIRCUIT PANDA, APT24, Palmerworm, BlackTech |
| Ciclone de Tela | Vietnã | BISMUTH, OCEAN BUFFALO, OceanLotus, APT32 |
| Tsunami de Caramelo | Israel, ator ofensivo do sector privado | DEV-0236 |
| Carmine Tsunami | Ator ofensivo do setor privado | |
| Tufão de carvão | China | CHROMIUM, PANDA AQUÁTICO, ControlX, RedHotel, UNIVERSIDADE DE BRONZE |
| Tufões axadificados | China | CLORO, PANDA PROFUNDO, ATG50, APT19, TG-3551, Gargoyle Vermelho |
| Tempestade de Canela | China, com motivação financeira | DEV-0401, HighGround |
| Tufões circulares | China | DEV-0322, EMISSARY PANDA, APT6, APT27 |
| Citrine Sleet | Coreia do Norte | Tempestade-0139, Tempestade-1222, LABYRINTH CHOLLIMA |
| Tufão de Cobre | China | Tonto Team, Earth Akhlut, Sharp-R |
| Tempestade de Areia de Algodão | Irão | NEPTUNIUM, GATINHO HAYWIRE, Vice Leaker |
| CovertNetwork-1658 | Rede secreta | ORB07 |
| Tufão Crescente | China | CESIUM |
| Tempestade de Areia Carmesim | Irão | CURIUM, GATINHO IMPERIAL, Casca de Tartaruga, HOUSEBLEND, TA456 |
| Tempestade de Areia Cuboid | Irão | DEV-0228, GATINHO IMPERIAL |
| Narciso Rajada | Emirados Árabes Unidos | Falcão Furtivo, Armadura Frutada, Projeto Corvo |
| Tsunami de Ganga | Áustria, ator ofensivo do sector privado | DEV-0291 |
| Sleet de Diamante | Coreia do Norte | ZINCO, LABYRINTH CHOLLIMA, Black Artemis, Lázaro |
| Sleet Esmeralda | Coreia do Norte | THALLIUM, VELVET CHOLLIMA, RGB-D5, Black Banshee, Kimsuky, Greendinosa |
| Fallow Squall | Cingapura | PLATINA, PARASITA, RUBYVINE, GINGERSNAP |
| Tufão de Linho | China | Storm-0919, ETHEREAL PANDA |
| Forest Blizzard | Rússia | STRONTIUM, FANCY BEAR, Sednit, ATG2, Sofacy, Blue Athena, Z-Lom Team, Operation Pawn Storm, Tsar Team, CrisisFour, HELLFIRE, APT28 |
| Ghost Blizzard | Rússia | BROMINE, BERSERK BEAR, TG-4192, Koala Team, Blue Kraken, Crouching Yeti, Dragonfly |
| Tufão de Gingham | China | GADOLINIUM, KRYPTONITE PANDA, TEMP. Periscópio, Leviathan, JJDoor, APT40, Feverdream |
| Tufão de Granito | China | GALLIUM, PANDA FANTASMA |
| Tempestade de Areia Cinzenta | Irão | DEV-0343 |
| Tempestade de Areia de Hazel | Irão | EUROPIUM, GATINHO HELIX, CIGANA COBALTO, Crambus, OilRig, APT34 |
| Tufões cardíacos | China | HELIUM, AURORA PANDA, APT17, Hidden Lynx, ATG3, Red Typhoon, KAOS, TG-8153, SportsFans, DeputyDog, Tailgater |
| Tufão de Hexágono | China | HIDROGÉNIO, PANDA NUMERADO, Equipa de Cálculo, Anubis Vermelho, APT12, DNS-Calc, HORDE |
| Tufão Houndstooth | China | HASSIUM, DRAGNET PANDA, isoon, deepclif |
| Jade Sleet | Coreia do Norte | Storm-0954, LABYRINTH CHOLLIMA |
| Jasper Sleet | Coreia do Norte | Storm-0287 |
| Tempestade de Renda | Motivações financeiras | DEV-0950 |
| Tempestade de Limão | Irão | RUBIDIUM, GATINHO PIONEIRO |
| Tufão leopardo | China | LEAD, WICKED PANDA, TG-2633, TG-3279, Mana, KAOS, Red Diablo, Winnti Group |
| Tufão Lilás | China | DEV-0234 |
| Tufão de Linha | China | IODINE, EMISSARY PANDA, Red Phoenix, Hippo, Lucky Mouse, BOWSER, APT27, Wekby2, UNC215, TG-3390 |
| Luna Tempest | Motivações financeiras | |
| Pó de Magenta | Türkiye | PROMETHIUM, StrongPity, SmallPity |
| Tempestade de Manatee | Rússia | DEV-0243, INDRIK SPIDER |
| Tempestade de Areia de Mango | Irão | MERCÚRIO, GATINHO ESTÁTICO, Seed Worm, TEMP. Zagros, MuddyWater |
| Pó em Mármore | Türkiye | SILICON, LOBO CÓSMICO, Tartaruga Marinha, UNC1326 |
| Marigold Sandstorm | Irão | DEV-500, GATINHO VINGATIVO |
| Tempestade da Meia-Noite | Rússia | NOBELIUM, URSO ACONCHEGANTE, UNC2452, APT29 |
| Tempestade de Areia de Menta | Irão | PHOSPHORUS, CHARMING KITTEN, Parastoo, Newscaster, APT35 |
| Granizo de Pedra Lunar | Coreia do Norte | Storm-1789, LABYRINTH CHOLLIMA |
| Tufão de Amoras | China | MANGANESE, KEYHOLE PANDA, Backdoor-DPD, COVENANT, CYSERVICE, Bottle, Red Horus, Red Naga, Auriga, APT5, ATG48, TG-2754, tabcteng |
| Tempestade de Mostarda | Motivações financeiras | DEV-0206, INDRIK SPIDER |
| Inundação de Neva | Rússia, Operações de influência | Storm-1516, CopyCop |
| Tsunami Noturno | Israel | DEV-0336 |
| Tufão de Nylon | China | NICKEL, VIXEN PANDA, Playful Dragon, RedRiver, ke3chang, APT15, Mirage |
| Octo Tempest | Motivações financeiras | ARANHA DISPERSA, 0ktapus |
| Oka Flood | Rússia, Operações de influência | Tempestade-1679 |
| Onyx Sleet | Coreia do Norte | PLUTONIUM, SILENT CHOLLIMA, StoneFly, campanha Tdrop2, DarkSeoul, Black Chollima, Andariel, APT45 |
| Opal Sleet | Coreia do Norte | OSMIUM, VELVET CHOLLIMA, Planedown, Konni, APT43 |
| Relâmpago com Patches | Storm-0113 | |
| Tempestade de Areia de Pêssego | Irão | HOLMIUM, GATINHO REFINADO, APT33, Elfin |
| Pearl Sleet | Coreia do Norte | LAWRENCIUM |
| Tufão de Pimenta | China | PANDA LIMINAL, CL-STA-0969 |
| Tempestade Periwinkle | Rússia | DEV-0193, WIZARD SPIDER |
| Tempestade Phlox | Israel, com motivação financeira | DEV-0796 |
| Tempestade de Areia Cor de Rosa | Irão | AMERICIUM, SPECTRAL KITTEN, Agrius, Deadwood, BlackShadow, SharpBoys, FireAnt, Justice Blade |
| Pinstripe Lightning | NIOBIUM, RENEGADO CHACAL, Falcões do Deserto, Scimitar, Árido Víbora | |
| Tempestade de Pistácio | Motivações financeiras | DEV-0237 |
| Chuva Xadrez | Líbano | POLONIUM, CHACAL INCENDIÁRIO |
| Tempestade de Areia de Abóbora | Irão | DEV-0146 |
| Tufão Púrpura | China | POTASSIUM, STONE PANDA, GOLEM, Evilgrab, AEON, LIVESAFE, ChChes, APT10, Haymaker, Webmonder, Foxtrot, Foxmail, MenuPass, Red Apollo |
| Tufão de Framboesa | China | RADIUM, LOTUS PANDA, LotusBlossom, APT30 |
| Tempestade de Areia Vermelha | Irão | Tempestade-0842, GATINHO BANIDO, Manticore Vazio |
| Ruby Sleet | Coreia do Norte | CERIUM, VELVET CHOLLIMA |
| Inundação de Ruza | Rússia, Operações de influência | |
| Tufão de Salmão | China | SÓDIO, MAVERICK PANDA, APT4 |
| Tufão de Sal | China | OPERADOR PANDA, GhostEmperor, FamousSparrow |
| Sangria Tempest | Ucrânia, Com motivação financeira | ELBRUS, ARANHA DE CARBONO |
| Safira Sleet | Coreia do Norte | COPERNICIUM, STARDUST CHOLLIMA, Genie Spider, BlueNoroff, CageyChameleon, CryptoCore |
| Tufão de Cetim | China | SCANDIUM, DYNAMITE PANDA, COMBINE, TG-0416, SILVERVIPER, Red Wraith, APT18, Elderwood Group, Wekby |
| Seashell Blizzard | Rússia | IRIDIUM, URSO VOODOO, BE2, UAC-0113, Blue Echidna, Sand worm, PHANTOM, BlackEnergy Lite, APT44 |
| Blizzard Secreta | Rússia | KRYPTON, URSO VENENOSO, Uroburos, Cobra, Python Azul, Turla, WRAITH, ATG26 |
| Inundação de Sefid | Irão, Operações de influência | |
| Tufão Sombra | China | Storm-0062, DarkShadow, Oro0lxy |
| Tufão de Seda | China | HAFNIUM, PANDA SOMBRIO, timmy |
| Tempestade de Areia de Fumo | Irão | GATINHO IMPERIAL, UNC1549 |
| Spandex Tempest | Motivações financeiras | MONTY SPIDER, TA505 |
| Estrela Blizzard | Rússia | SEABORGIUM, COLDRIVER, Callisto Group, BlueCharlie, TA446 |
| Storm-0216 | Motivações financeiras | TUNNEL SPIDER, UNC2198 |
| Storm-0230 | Grupo em desenvolvimento | WIZARD SPIDER, Conti Team 1 |
| Storm-0247 | China | ToddyCat, Websiic |
| Storm-0249 | Grupo em desenvolvimento | |
| Storm-0252 | Grupo em desenvolvimento | ARANHA CHATTY |
| Storm-0288 | Grupo em desenvolvimento | FIN8 |
| Storm-0302 | Grupo em desenvolvimento | NARWHAL SPIDER, TA544 |
| Storm-0408 | Grupo em desenvolvimento | |
| Storm-0485 | Grupo em desenvolvimento | |
| Storm-0501 | Motivações financeiras | |
| Storm-0538 | Grupo em desenvolvimento | ARANHA-ESQUELETO, FIN6 |
| Storm-0539 | Motivações financeiras | |
| Storm-0569 | Motivações financeiras | |
| Storm-0671 | Grupo em desenvolvimento | UNC2596, Tropicalscorpius |
| Storm-0940 | China | |
| Storm-0978 | Rússia | RomCom, Equipa Subterrânea |
| Storm-1101 | Grupo em desenvolvimento | |
| Tempestade-1113 | Motivações financeiras | ARANHA BOTICÁRIO |
| Tempestade-1152 | Motivações financeiras | |
| Tempestade-1175 | China, com motivação financeira | |
| Tempestade-1194 | Grupo em desenvolvimento | MONTI |
| Tempestade-1249 | Grupo em desenvolvimento | |
| Tempestade-1516 | Rússia, Operações de influência | |
| Tempestade-1567 | Motivações financeiras | ARANHA PUNK |
| Storm-1607 | Grupo em desenvolvimento | |
| Tempestade-1674 | Motivações financeiras | |
| Tempestade-1811 | Motivações financeiras | ARANHA ENCARACOLADA |
| Tempestade-1849 | China | UAT4356 |
| Tempestade-1865 | Grupo em desenvolvimento | |
| Tempestade-1982 | China | SneakyCheff, UNK_SweetSpecter |
| Storm-2035 | Irão, Operações de influência | |
| Storm-2077 | China | TAG-100 |
| Tempestade-2246 | Grupo em desenvolvimento | |
| Tempestade-2372 | Grupo em desenvolvimento | |
| Storm-2460 | Grupo em desenvolvimento | |
| Tempestade-2477 | Grupo em desenvolvimento | Lumma Stealer |
| Storm-2603 | China | |
| Tempestade-2657 | Estados Unidos, Com motivação financeira | Piratas da Folha de Pagamentos |
| Tempestade de Morango | Motivações financeiras | DEV-0537, ARANHA DESLIZADA, LAPSUS$ |
| Sunglow Blizzard | DEV-0665 | |
| Turbilhão de Redemoinho | China | TELLURIUM, STALKER PANDA, Tick, Bronze Butler, REDBALDKNIGHT |
| Taffeta Tufão | China | TECHNETIUM, TURBINE PANDA, TG-0055, Red Kobold, JerseyMikes, APT26, BEARCLAW |
| Inundação de Taizi | China, Operações de influência | Dragonbridge, Spamouflage |
| Tufão Tumbleweed | China | THORIUM, Karst |
| Twill Tufão | China | TANTALUM, MUSTANG PANDA, PRESIDENTE DO BRONZE, LuminousMoth |
| Tempestade de baunilha | Motivações financeiras | DEV-0832, VICE SPIDER, Vice Society |
| Tempestade de Veludo | Motivações financeiras | DEV-0504, ALFA SPIDER |
| Tufão Violet | China | ZIRCONIUM, JUDGMENT PANDA, Chameleon, APT31, WebFans |
| Void Blizzard | Rússia | Urso lavanderia |
| Inundação de Volga | Rússia, Operações de influência | Storm-1841, Rybar |
| Tufão Volt | China | VANGUARD PANDA, SILHUETA DE BRONZE |
| Tempestade de Trigo | Motivações financeiras | GOLD, Gatak |
| Wisteria Tsunami | Índia, ator ofensivo do setor privado | DEV-0605, MintedSoil |
| Inundação de Yulong | China, Operações de influência | Tempestade-1852 |
| Granizo ziguezague | República da Coreia | DUBNIUM, SHADOW CRANE, Nemim, TEMPLAR, TieOnJoe, Fallout Team, Purple Pygmy, Dark Hotel, Egobot, Tapaoux, PALADIN, APT-C-60 |
Leia o nosso anúncio sobre esta taxonomia para obter mais informações: https://aka.ms/threatactorsblog
Colocar inteligência nas mãos de profissionais de segurança
Os perfis da Intel no Informações sobre Ameaças do Microsoft Defender trazem informações cruciais sobre os atores de ameaças. Estas informações permitem que as equipas de segurança obtenham o contexto de que precisam à medida que se preparam e respondem a ameaças.
Além disso, a API Informações sobre Ameaças do Microsoft Defender Intel Profiles fornece a visibilidade de infraestrutura de ator de ameaças mais atualizada no setor atualmente. As informações atualizadas são cruciais para permitir que as equipas de operações de segurança e informações sobre ameaças (SecOps) simplifiquem os fluxos de trabalho avançados de investigação e análise de ameaças. Saiba mais sobre esta API na documentação: Utilizar as APIs de informações sobre ameaças no Microsoft Graph (pré-visualização).
Recursos
Utilize a seguinte consulta em Microsoft Defender XDR e outros produtos de segurança da Microsoft que suportem a linguagem de consulta Kusto (KQL) para obter informações sobre um ator de ameaças com o nome antigo, novo nome ou nome da indústria:
let TANames = externaldata(PreviousName: string, NewName: string, Origin: string, OtherNames: dynamic)[@"https://raw.githubusercontent.com/microsoft/mstic/master/PublicFeeds/ThreatActorNaming/MicrosoftMapping.json"] with(format="multijson", ingestionMapping='[{"Column":"PreviousName","Properties":{"Path":"$.Previous name"}},{"Column":"NewName","Properties":{"Path":"$.New name"}},{"Column":"Origin","Properties":{"Path":"$.Origin/Threat"}},{"Column":"OtherNames","Properties":{"Path":"$.Other names"}}]');
let GetThreatActorAlias = (Name: string) {
TANames
| where Name =~ NewName or Name =~ PreviousName or OtherNames has Name
};
GetThreatActorAlias("ZINC")
Os seguintes ficheiros que contêm o mapeamento abrangente de nomes de ator de ameaças antigos com os respetivos novos nomes também estão disponíveis: