Microsoft criou novas nomenclaturas para grupos hackers

Conceitos para denominar associações de hackers servirá para entender mais rapidamente o tipo de ameaça; países como China e Irã fazem parte dos grupos-chave

Ricardo Syozi
Por
Hacker (Imagem: B_A/Pixabay)
Hacker (Imagem: B_A/Pixabay)

A Microsoft anunciou que vai passar a usar uma nova taxonomia para identificar grupos de cibercriminosos. Dessa forma, hackers passarão a receber terminologias baseadas em eventos climáticos, como tempestades e tornados. Segundo a empresa, os termos ajudarão a trazer mais contexto para pesquisadores e usuários, além de oferecer maneiras mais organizadas e claras para referir a associações desse tipo.

A principal intenção da Microsoft é a de dar uma ideia instantânea para profissionais de cibersegurança do tipo de ameaça que estão enfrentando.

Assim, os novos termos vão incluir cinco grupos-chave: agentes de ameaça de Estado-nação (que inclui países como Rússia, Coreia do Norte, China e Irã), motivados financeiramente, agentes do setor privado (PSOAs), operações de influência e grupos em desenvolvimento.

De acordo com a empresa de Redmond:

Esse vocabulário ajuda as equipes de Inteligência de Ameaças da Microsoft a entenderem completamente o “o que” de um ataque, fazer avaliações sobre o “porque” e, em seguida, prever e implementar proteções para “onde” um invasor pode ir em seguida. Nossa visão é que esse novo modelo de nomenclatura ajude nossos clientes e a indústria a mudar para uma abordagem mais proativa à defesa.

Taxonomia Microsoft hackers
Algumas da novas terminologias (Imagem: Divulgação / Microsoft)

Quais são as novas taxonomias da Microsoft?

A comunidade de Inteligência de Ameaças da Microsoft apresentou uma tabela para deixar mais claro as novas nomenclaturas e suas definições:

CategoriaTipoNome de família
Estado-NaçãoChinaTyphoon
IrãSandstorm
LíbanoRain
Coreia do norteSleet
RússiaBlizzard
Coreia do SulHail
TurquiaDust
VietnãCyclone
Motivados financeiramenteMotivados financeiramenteTempest
Agentes do setor privado PSOAsTsunami
Operações de influênciaOperações de influênciaFlood
Grupos em desenvolvimentoGrupos em desenvolvimentoStorm

Essa taxonomia será representada por eventos de clima como uma forma de encaixar cada associação criminosa dentro de uma mesma “família”. Golpistas dentro da mesma categoria, mas que possuem infraestrutura, objetivos ou padrões diferentes, receberão um adjetivo para distingui-los.

Por exemplo: o Lapsus$, que vazou 70 GB da Globant em 2022, passará a ser mencionado como Strawberry Tempest, pois sua motivação é financeira. Agora, se uma equipe de cibercriminosos tem origem ou atribuição de uma nação, ela terá uma terminologia própria. Uma relação com a China tem a nomenclatura Typhoon (tufão), nesse caso.

Outro exemplo é o grupo conhecido como Cozy Bear, hackers russos que invadiram o Comitê Nacional Democrata dos Estados Unidos em 2016. A partir de agora, eles serão chamados de Midnight Blizzard, já que têm origem atrelada ao país europeu.

Para coletividades emergentes ou desconhecidas, a Microsoft passará a usar um termo temporário. A designação será a de Storm junto de um número de quatro dígitos. Isso servirá para a Inteligência rastrear as movimentações até que identifiquem o propósito e a nação pertencente desses cibercriminosos.

grupos em desenvolvimento hacker
Forma de reconhecimento de grupos emergentes (Imagem: Divulgação / Microsoft)

Sistema de identificação de hackers já encontrou mais de 300 criminosos

A companhia de Redmond afirmou que sua comunidade de Inteligência de Ameaças passou mais de uma década descobrindo, rastreando e identificando atividades maliciosas. Os profissionais da empresa já localizaram mais de 300 golpistas, incluindo 160 agentes de estado-nação, 50 grupos de ransomware e centenas de outros hackers.

Por fim, a Microsoft destacou a perspectiva criada:

Acreditamos que essa nova abordagem, juntamente com o novo sistema de ícones mostrado em alguns dos exemplos acima, torna ainda mais fácil identificar e lembrar os agentes de ameaças da Microsoft. Cada ícone representa exclusivamente um nome de família e, onde faz sentido, acompanhará os nomes dos agentes de ameaças como uma ajuda visual. Essa nova abordagem de nomenclatura não muda de forma alguma quem são os agentes de ameaças que estamos rastreando ou nossa análise atual por trás dos nomes.

Com informações: The Verge e Microsoft.

Relacionados