Receba insights diretamente dos especialistas no Podcast das Informações sobre ameaças da Microsoft. Ouça agora.
Security Insider
Informações sobre ameaças e insights acionáveis para ficar à frente
Ameaças emergentes
Análise das Informações sobre Ameaças de 2023: Os Principais Insights e Desenvolvimentos
As Informações sobre ameaças da Microsoft reúne as principais tendências de atores de ameaças em TTPs (técnicas, táticas e procedimentos) a partir de 2023.
Últimas notícias
Relatórios de inteligência
Como navegar pelas ameaças cibernéticas e fortalecer as defesas na era da IA
Relatórios de inteligência
Irã aumenta operações de influência cibernética em apoio ao Hamas
Ameaças emergentes
Alimentando-se da economia da confiança: fraude de engenharia social
Insights do ator da ameaça
A Segurança da Microsoft está rastreando ativamente atores responsáveis por ameaças observadas em estados-nação, ransomware e atividades criminosas. Esses insights representam atividades disponíveis publicamente de pesquisadores da Segurança da Microsoft que estudam ameaças e fornecem um catálogo centralizado de perfis de atores dos blogs de referência.
Mint Sandstorm
O Mint Sandstorm (anteriormente PHOSPHORUS) normalmente tenta comprometer as contas pessoais de indivíduos por meio de spear phishing e do uso de engenharia social para criar um relacionamento com as vítimas antes de atingi-las
Manatee Tempest
Manatee Tempest (anteriormente DEV-0243) é um ator de ameaças que faz parte da economia de RaaS (ransomware como serviço), em parceria com outros atores de ameaças para fornecer carregadores Cobalt Strike personalizados.
Wine Tempest
O Wine Tempest (anteriormente PARINACOTA) costuma usar ransomware operado por humanos para ataques, principalmente implantando o ransomware Wadhrama. O grupo é engenhoso, muda de tática para atender às suas necessidades e usa máquinas comprometidas para diversos fins, incluindo mineração de criptomoeda, envio de emails de spam ou proxy para outros ataques.
Smoke Sandstorm
Smoke Sandstorm (anteriormente conhecido como BOHRIUM/DEV-0056) comprometeu contas de email de uma empresa de integração de TI sediada no Bahrein em setembro de 2021. Essa empresa trabalha na integração de TI com clientes do governo do Bahrein, que provavelmente eram o alvo principal do Smoke Sandstorm.
Storm-0530
Um grupo de atores originários da Coreia do Norte, que a Microsoft rastreia como Storm-0530 (anteriormente DEV-0530), vem desenvolvendo e usando ransomware em ataques desde junho de 2021.
Silk Typhoon
Em 2021, o Silk Typhoon (anteriormente HAFNIUM) usou exploits de dia 0 para atacar versões locais do Microsoft Exchange Server em ataques limitados e direcionados.
Forest Blizzard
Forest Blizzard (anteriormente conhecido como STRONTIUM) emprega várias técnicas de acesso inicial, que incluem a exploração de vulnerabilidades em aplicativos voltados para a web e, para a obtenção de credenciais, o uso de spear phishing e a implementação de ferramentas automatizadas de pulverização de senhas/ataque de força bruta, operando através da rede TOR
Midnight Blizzard
O ator que a Microsoft rastreia como Midnight Blizzard (NOBELIUM) é um ator de ameaças baseado na Rússia, atribuído pelos governos dos EUA e do Reino Unido como o Serviço de Inteligência Estrangeira da Federação Russa, também conhecido como SVR.
Volt Typhoon
O grupo de atividades de estado-nação que a Microsoft monitora com o nome de Volt Typhoon tem origem na China. O foco do Volt Typhoon está na espionagem, roubo de dados e acesso a credenciais.
Plaid Rain
Desde fevereiro de 2022, o Plaid Rain (anteriormente POLONIUM) tem sido observado principalmente visando organizações em Israel, com foco em setores críticos, como a manufatura, TI e a indústria de defesa de Israel.
Hazel Sandstorm
O Hazel Sandstorm (anteriormente EUROPIUM) foi publicamente vinculado ao Ministério de Inteligência e Segurança (MOIS) do Irã. A Microsoft avaliou com alta confiança que, em 15 de julho de 2022, atores patrocinados pelo governo iraniano realizaram um ataque cibernético destrutivo contra o governo albanês, interrompendo sites do governo e serviços públicos.
Cadet Blizzard
A Microsoft monitora o Cadet Blizzard (DEV-0586) como um ator de ameaças patrocinado pelo estado russo que começou a ser rastreado após eventos disruptivos e destrutivos que ocorreram em várias agências governamentais na Ucrânia em meados de janeiro de 2022.
Pistachio Tempest
Pistachio Tempest (anteriormente DEV-0237) é um grupo associado à distribuição impactante de ransomware. A Microsoft observou que o Pistachio Tempest usa conteúdo de ransomware variado ao longo do tempo, à medida que o grupo experimenta novas ofertas de ransomware como serviço (RaaS), de Ryuk e Conti a Hive, Nokoyawa e, mais recentemente, Agenda e Mindware.
Periwinkle Tempest
Periwinkle Tempest (anteriormente conhecido como DEV-0193) é responsável por desenvolver, distribuir e gerenciar diversos tipos de payloads maliciosos, incluindo Trickbot, Bazaloader e AnchorDNS.
Caramel Tsunami
O Caramel Tsunami (anteriormente SOURGUM) geralmente vende armas cibernéticas, malware e explorações de dia zero, como parte de um pacote de hacking como serviço vendido a agências governamentais e outros atores mal-intencionados.
Aqua Blizzard
O Aqua Blizzard (anteriormente ACTINIUM) usa emails de spear-phishing com anexos de macros mal-intencionados que empregam modelos remotos. O principal objetivo das atividades do Aqua Blizzard é obter acesso persistente a redes específicas, por meio da implantação de malware personalizado e ferramentas comerciais, para fins de coleta de informações.
Nylon Typhoon
O Nylon Typhoon (anteriormente NICKEL) usa exploits contra sistemas sem patches para comprometer serviços e dispositivos de acesso remoto. Após uma invasão bem-sucedida, eles usam dumpers ou ladrões de credenciais para obter credenciais legítimas, com as quais conseguem acesso às contas das vítimas e a sistemas de maior valor.
Crimson Sandstorm
Os atores do Crimson Sandstorm (anteriormente CURIUM) foram observados aproveitando uma rede de contas fictícias de redes sociais para criar confiança com os alvos e fornecer malware para, por fim, exfiltrar dados.
Diamond Sleet
O Diamond Sleet (anteriormente ZINC) é um ator de ameaças que realiza atividades globais em nome do governo norte-coreano. Ativo desde pelo menos 2009, o Diamond Sleet é conhecido por ter como alvo os setores de mídia, defesa, tecnologia da informação e pesquisa científica, bem como pesquisadores de segurança, com foco em espionagem, roubo de dados, ganhos financeiros e destruição de redes.
Gray Sandstorm
O Gray Sandstorm (anteriormente DEV-0343) realiza extensa pulverização de senha emulando um navegador Firefox e usando IPs hospedados em uma rede proxy Tor. Eles normalmente têm como alvo dezenas a centenas de contas dentro de uma organização, dependendo do tamanho, e enumeram cada conta de dezenas a milhares de vezes.
Plaid Rain
Desde fevereiro de 2022, o Plaid Rain (anteriormente POLONIUM) tem sido observado principalmente visando organizações em Israel, com foco em setores críticos, como a manufatura, TI e a indústria de defesa de Israel.
Volt Typhoon
O grupo de atividades de estado-nação que a Microsoft monitora com o nome de Volt Typhoon tem origem na China. O foco do Volt Typhoon está na espionagem, roubo de dados e acesso a credenciais.
Mint Sandstorm
O Mint Sandstorm (anteriormente PHOSPHORUS) normalmente tenta comprometer as contas pessoais de indivíduos por meio de spear phishing e do uso de engenharia social para criar um relacionamento com as vítimas antes de atingi-las
Silk Typhoon
Em 2021, o Silk Typhoon (anteriormente HAFNIUM) usou exploits de dia 0 para atacar versões locais do Microsoft Exchange Server em ataques limitados e direcionados.
Forest Blizzard
Forest Blizzard (anteriormente conhecido como STRONTIUM) emprega várias técnicas de acesso inicial, que incluem a exploração de vulnerabilidades em aplicativos voltados para a web e, para a obtenção de credenciais, o uso de spear phishing e a implementação de ferramentas automatizadas de pulverização de senhas/ataque de força bruta, operando através da rede TOR
Midnight Blizzard
O ator que a Microsoft rastreia como Midnight Blizzard (NOBELIUM) é um ator de ameaças baseado na Rússia, atribuído pelos governos dos EUA e do Reino Unido como o Serviço de Inteligência Estrangeira da Federação Russa, também conhecido como SVR.
Plaid Rain
Desde fevereiro de 2022, o Plaid Rain (anteriormente POLONIUM) tem sido observado principalmente visando organizações em Israel, com foco em setores críticos, como a manufatura, TI e a indústria de defesa de Israel.
Aqua Blizzard
O Aqua Blizzard (anteriormente ACTINIUM) usa emails de spear-phishing com anexos de macros mal-intencionados que empregam modelos remotos. O principal objetivo das atividades do Aqua Blizzard é obter acesso persistente a redes específicas, por meio da implantação de malware personalizado e ferramentas comerciais, para fins de coleta de informações.
Crimson Sandstorm
Os atores do Crimson Sandstorm (anteriormente CURIUM) foram observados aproveitando uma rede de contas fictícias de redes sociais para criar confiança com os alvos e fornecer malware para, por fim, exfiltrar dados.
Gray Sandstorm
O Gray Sandstorm (anteriormente DEV-0343) realiza extensa pulverização de senha emulando um navegador Firefox e usando IPs hospedados em uma rede proxy Tor. Eles normalmente têm como alvo dezenas a centenas de contas dentro de uma organização, dependendo do tamanho, e enumeram cada conta de dezenas a milhares de vezes.
Silk Typhoon
Em 2021, o Silk Typhoon (anteriormente HAFNIUM) usou exploits de dia 0 para atacar versões locais do Microsoft Exchange Server em ataques limitados e direcionados.
Forest Blizzard
Forest Blizzard (anteriormente conhecido como STRONTIUM) emprega várias técnicas de acesso inicial, que incluem a exploração de vulnerabilidades em aplicativos voltados para a web e, para a obtenção de credenciais, o uso de spear phishing e a implementação de ferramentas automatizadas de pulverização de senhas/ataque de força bruta, operando através da rede TOR
Volt Typhoon
O grupo de atividades de estado-nação que a Microsoft monitora com o nome de Volt Typhoon tem origem na China. O foco do Volt Typhoon está na espionagem, roubo de dados e acesso a credenciais.
Periwinkle Tempest
Periwinkle Tempest (anteriormente conhecido como DEV-0193) é responsável por desenvolver, distribuir e gerenciar diversos tipos de payloads maliciosos, incluindo Trickbot, Bazaloader e AnchorDNS.
Caramel Tsunami
O Caramel Tsunami (anteriormente SOURGUM) geralmente vende armas cibernéticas, malware e explorações de dia zero, como parte de um pacote de hacking como serviço vendido a agências governamentais e outros atores mal-intencionados.
Cadet Blizzard
A Microsoft monitora o Cadet Blizzard (DEV-0586) como um ator de ameaças patrocinado pelo estado russo que começou a ser rastreado após eventos disruptivos e destrutivos que ocorreram em várias agências governamentais na Ucrânia em meados de janeiro de 2022.
Plaid Rain
Desde fevereiro de 2022, o Plaid Rain (anteriormente POLONIUM) tem sido observado principalmente visando organizações em Israel, com foco em setores críticos, como a manufatura, TI e a indústria de defesa de Israel.
Mint Sandstorm
O Mint Sandstorm (anteriormente PHOSPHORUS) normalmente tenta comprometer as contas pessoais de indivíduos por meio de spear phishing e do uso de engenharia social para criar um relacionamento com as vítimas antes de atingi-las
Smoke Sandstorm
Smoke Sandstorm (anteriormente conhecido como BOHRIUM/DEV-0056) comprometeu contas de email de uma empresa de integração de TI sediada no Bahrein em setembro de 2021. Essa empresa trabalha na integração de TI com clientes do governo do Bahrein, que provavelmente eram o alvo principal do Smoke Sandstorm.
Forest Blizzard
Forest Blizzard (anteriormente conhecido como STRONTIUM) emprega várias técnicas de acesso inicial, que incluem a exploração de vulnerabilidades em aplicativos voltados para a web e, para a obtenção de credenciais, o uso de spear phishing e a implementação de ferramentas automatizadas de pulverização de senhas/ataque de força bruta, operando através da rede TOR
Midnight Blizzard
O ator que a Microsoft rastreia como Midnight Blizzard (NOBELIUM) é um ator de ameaças baseado na Rússia, atribuído pelos governos dos EUA e do Reino Unido como o Serviço de Inteligência Estrangeira da Federação Russa, também conhecido como SVR.
Volt Typhoon
O grupo de atividades de estado-nação que a Microsoft monitora com o nome de Volt Typhoon tem origem na China. O foco do Volt Typhoon está na espionagem, roubo de dados e acesso a credenciais.
Plaid Rain
Desde fevereiro de 2022, o Plaid Rain (anteriormente POLONIUM) tem sido observado principalmente visando organizações em Israel, com foco em setores críticos, como a manufatura, TI e a indústria de defesa de Israel.
Hazel Sandstorm
O Hazel Sandstorm (anteriormente EUROPIUM) foi publicamente vinculado ao Ministério de Inteligência e Segurança (MOIS) do Irã. A Microsoft avaliou com alta confiança que, em 15 de julho de 2022, atores patrocinados pelo governo iraniano realizaram um ataque cibernético destrutivo contra o governo albanês, interrompendo sites do governo e serviços públicos.
Cadet Blizzard
A Microsoft monitora o Cadet Blizzard (DEV-0586) como um ator de ameaças patrocinado pelo estado russo que começou a ser rastreado após eventos disruptivos e destrutivos que ocorreram em várias agências governamentais na Ucrânia em meados de janeiro de 2022.
Caramel Tsunami
O Caramel Tsunami (anteriormente SOURGUM) geralmente vende armas cibernéticas, malware e explorações de dia zero, como parte de um pacote de hacking como serviço vendido a agências governamentais e outros atores mal-intencionados.
Aqua Blizzard
O Aqua Blizzard (anteriormente ACTINIUM) usa emails de spear-phishing com anexos de macros mal-intencionados que empregam modelos remotos. O principal objetivo das atividades do Aqua Blizzard é obter acesso persistente a redes específicas, por meio da implantação de malware personalizado e ferramentas comerciais, para fins de coleta de informações.
Nylon Typhoon
O Nylon Typhoon (anteriormente NICKEL) usa exploits contra sistemas sem patches para comprometer serviços e dispositivos de acesso remoto. Após uma invasão bem-sucedida, eles usam dumpers ou ladrões de credenciais para obter credenciais legítimas, com as quais conseguem acesso às contas das vítimas e a sistemas de maior valor.
Crimson Sandstorm
Os atores do Crimson Sandstorm (anteriormente CURIUM) foram observados aproveitando uma rede de contas fictícias de redes sociais para criar confiança com os alvos e fornecer malware para, por fim, exfiltrar dados.
Silk Typhoon
Em 2021, o Silk Typhoon (anteriormente HAFNIUM) usou exploits de dia 0 para atacar versões locais do Microsoft Exchange Server em ataques limitados e direcionados.
Midnight Blizzard
O ator que a Microsoft rastreia como Midnight Blizzard (NOBELIUM) é um ator de ameaças baseado na Rússia, atribuído pelos governos dos EUA e do Reino Unido como o Serviço de Inteligência Estrangeira da Federação Russa, também conhecido como SVR.
Pistachio Tempest
Pistachio Tempest (anteriormente DEV-0237) é um grupo associado à distribuição impactante de ransomware. A Microsoft observou que o Pistachio Tempest usa conteúdo de ransomware variado ao longo do tempo, à medida que o grupo experimenta novas ofertas de ransomware como serviço (RaaS), de Ryuk e Conti a Hive, Nokoyawa e, mais recentemente, Agenda e Mindware.
Periwinkle Tempest
Periwinkle Tempest (anteriormente conhecido como DEV-0193) é responsável por desenvolver, distribuir e gerenciar diversos tipos de payloads maliciosos, incluindo Trickbot, Bazaloader e AnchorDNS.
Aqua Blizzard
O Aqua Blizzard (anteriormente ACTINIUM) usa emails de spear-phishing com anexos de macros mal-intencionados que empregam modelos remotos. O principal objetivo das atividades do Aqua Blizzard é obter acesso persistente a redes específicas, por meio da implantação de malware personalizado e ferramentas comerciais, para fins de coleta de informações.
Silk Typhoon
Em 2021, o Silk Typhoon (anteriormente HAFNIUM) usou exploits de dia 0 para atacar versões locais do Microsoft Exchange Server em ataques limitados e direcionados.
Volt Typhoon
O grupo de atividades de estado-nação que a Microsoft monitora com o nome de Volt Typhoon tem origem na China. O foco do Volt Typhoon está na espionagem, roubo de dados e acesso a credenciais.
Plaid Rain
Desde fevereiro de 2022, o Plaid Rain (anteriormente POLONIUM) tem sido observado principalmente visando organizações em Israel, com foco em setores críticos, como a manufatura, TI e a indústria de defesa de Israel.
Volt Typhoon
O grupo de atividades de estado-nação que a Microsoft monitora com o nome de Volt Typhoon tem origem na China. O foco do Volt Typhoon está na espionagem, roubo de dados e acesso a credenciais.
Caramel Tsunami
O Caramel Tsunami (anteriormente SOURGUM) geralmente vende armas cibernéticas, malware e explorações de dia zero, como parte de um pacote de hacking como serviço vendido a agências governamentais e outros atores mal-intencionados.
Manatee Tempest
Manatee Tempest (anteriormente DEV-0243) é um ator de ameaças que faz parte da economia de RaaS (ransomware como serviço), em parceria com outros atores de ameaças para fornecer carregadores Cobalt Strike personalizados.
Smoke Sandstorm
Smoke Sandstorm (anteriormente conhecido como BOHRIUM/DEV-0056) comprometeu contas de email de uma empresa de integração de TI sediada no Bahrein em setembro de 2021. Essa empresa trabalha na integração de TI com clientes do governo do Bahrein, que provavelmente eram o alvo principal do Smoke Sandstorm.
Storm-0530
Um grupo de atores originários da Coreia do Norte, que a Microsoft rastreia como Storm-0530 (anteriormente DEV-0530), vem desenvolvendo e usando ransomware em ataques desde junho de 2021.
Mint Sandstorm
O Mint Sandstorm (anteriormente PHOSPHORUS) normalmente tenta comprometer as contas pessoais de indivíduos por meio de spear phishing e do uso de engenharia social para criar um relacionamento com as vítimas antes de atingi-las
Silk Typhoon
Em 2021, o Silk Typhoon (anteriormente HAFNIUM) usou exploits de dia 0 para atacar versões locais do Microsoft Exchange Server em ataques limitados e direcionados.
Midnight Blizzard
O ator que a Microsoft rastreia como Midnight Blizzard (NOBELIUM) é um ator de ameaças baseado na Rússia, atribuído pelos governos dos EUA e do Reino Unido como o Serviço de Inteligência Estrangeira da Federação Russa, também conhecido como SVR.
Aqua Blizzard
O Aqua Blizzard (anteriormente ACTINIUM) usa emails de spear-phishing com anexos de macros mal-intencionados que empregam modelos remotos. O principal objetivo das atividades do Aqua Blizzard é obter acesso persistente a redes específicas, por meio da implantação de malware personalizado e ferramentas comerciais, para fins de coleta de informações.
Nylon Typhoon
O Nylon Typhoon (anteriormente NICKEL) usa exploits contra sistemas sem patches para comprometer serviços e dispositivos de acesso remoto. Após uma invasão bem-sucedida, eles usam dumpers ou ladrões de credenciais para obter credenciais legítimas, com as quais conseguem acesso às contas das vítimas e a sistemas de maior valor.
Aqua Blizzard
O Aqua Blizzard (anteriormente ACTINIUM) usa emails de spear-phishing com anexos de macros mal-intencionados que empregam modelos remotos. O principal objetivo das atividades do Aqua Blizzard é obter acesso persistente a redes específicas, por meio da implantação de malware personalizado e ferramentas comerciais, para fins de coleta de informações.
Silk Typhoon
Em 2021, o Silk Typhoon (anteriormente HAFNIUM) usou exploits de dia 0 para atacar versões locais do Microsoft Exchange Server em ataques limitados e direcionados.
Caramel Tsunami
O Caramel Tsunami (anteriormente SOURGUM) geralmente vende armas cibernéticas, malware e explorações de dia zero, como parte de um pacote de hacking como serviço vendido a agências governamentais e outros atores mal-intencionados.
Caramel Tsunami
O Caramel Tsunami (anteriormente SOURGUM) geralmente vende armas cibernéticas, malware e explorações de dia zero, como parte de um pacote de hacking como serviço vendido a agências governamentais e outros atores mal-intencionados.
Aqua Blizzard
O Aqua Blizzard (anteriormente ACTINIUM) usa emails de spear-phishing com anexos de macros mal-intencionados que empregam modelos remotos. O principal objetivo das atividades do Aqua Blizzard é obter acesso persistente a redes específicas, por meio da implantação de malware personalizado e ferramentas comerciais, para fins de coleta de informações.
Diamond Sleet
O Diamond Sleet (anteriormente ZINC) é um ator de ameaças que realiza atividades globais em nome do governo norte-coreano. Ativo desde pelo menos 2009, o Diamond Sleet é conhecido por ter como alvo os setores de mídia, defesa, tecnologia da informação e pesquisa científica, bem como pesquisadores de segurança, com foco em espionagem, roubo de dados, ganhos financeiros e destruição de redes.
Forest Blizzard
Forest Blizzard (anteriormente conhecido como STRONTIUM) emprega várias técnicas de acesso inicial, que incluem a exploração de vulnerabilidades em aplicativos voltados para a web e, para a obtenção de credenciais, o uso de spear phishing e a implementação de ferramentas automatizadas de pulverização de senhas/ataque de força bruta, operando através da rede TOR
Midnight Blizzard
O ator que a Microsoft rastreia como Midnight Blizzard (NOBELIUM) é um ator de ameaças baseado na Rússia, atribuído pelos governos dos EUA e do Reino Unido como o Serviço de Inteligência Estrangeira da Federação Russa, também conhecido como SVR.
Volt Typhoon
O grupo de atividades de estado-nação que a Microsoft monitora com o nome de Volt Typhoon tem origem na China. O foco do Volt Typhoon está na espionagem, roubo de dados e acesso a credenciais.
Plaid Rain
Desde fevereiro de 2022, o Plaid Rain (anteriormente POLONIUM) tem sido observado principalmente visando organizações em Israel, com foco em setores críticos, como a manufatura, TI e a indústria de defesa de Israel.
Cadet Blizzard
A Microsoft monitora o Cadet Blizzard (DEV-0586) como um ator de ameaças patrocinado pelo estado russo que começou a ser rastreado após eventos disruptivos e destrutivos que ocorreram em várias agências governamentais na Ucrânia em meados de janeiro de 2022.
Crimson Sandstorm
Os atores do Crimson Sandstorm (anteriormente CURIUM) foram observados aproveitando uma rede de contas fictícias de redes sociais para criar confiança com os alvos e fornecer malware para, por fim, exfiltrar dados.
Diamond Sleet
O Diamond Sleet (anteriormente ZINC) é um ator de ameaças que realiza atividades globais em nome do governo norte-coreano. Ativo desde pelo menos 2009, o Diamond Sleet é conhecido por ter como alvo os setores de mídia, defesa, tecnologia da informação e pesquisa científica, bem como pesquisadores de segurança, com foco em espionagem, roubo de dados, ganhos financeiros e destruição de redes.
Gray Sandstorm
O Gray Sandstorm (anteriormente DEV-0343) realiza extensa pulverização de senha emulando um navegador Firefox e usando IPs hospedados em uma rede proxy Tor. Eles normalmente têm como alvo dezenas a centenas de contas dentro de uma organização, dependendo do tamanho, e enumeram cada conta de dezenas a milhares de vezes.
Silk Typhoon
Em 2021, o Silk Typhoon (anteriormente HAFNIUM) usou exploits de dia 0 para atacar versões locais do Microsoft Exchange Server em ataques limitados e direcionados.
Forest Blizzard
Forest Blizzard (anteriormente conhecido como STRONTIUM) emprega várias técnicas de acesso inicial, que incluem a exploração de vulnerabilidades em aplicativos voltados para a web e, para a obtenção de credenciais, o uso de spear phishing e a implementação de ferramentas automatizadas de pulverização de senhas/ataque de força bruta, operando através da rede TOR
Midnight Blizzard
O ator que a Microsoft rastreia como Midnight Blizzard (NOBELIUM) é um ator de ameaças baseado na Rússia, atribuído pelos governos dos EUA e do Reino Unido como o Serviço de Inteligência Estrangeira da Federação Russa, também conhecido como SVR.
Diamond Sleet
O Diamond Sleet (anteriormente ZINC) é um ator de ameaças que realiza atividades globais em nome do governo norte-coreano. Ativo desde pelo menos 2009, o Diamond Sleet é conhecido por ter como alvo os setores de mídia, defesa, tecnologia da informação e pesquisa científica, bem como pesquisadores de segurança, com foco em espionagem, roubo de dados, ganhos financeiros e destruição de redes.
Silk Typhoon
Em 2021, o Silk Typhoon (anteriormente HAFNIUM) usou exploits de dia 0 para atacar versões locais do Microsoft Exchange Server em ataques limitados e direcionados.
Volt Typhoon
O grupo de atividades de estado-nação que a Microsoft monitora com o nome de Volt Typhoon tem origem na China. O foco do Volt Typhoon está na espionagem, roubo de dados e acesso a credenciais.
Plaid Rain
Desde fevereiro de 2022, o Plaid Rain (anteriormente POLONIUM) tem sido observado principalmente visando organizações em Israel, com foco em setores críticos, como a manufatura, TI e a indústria de defesa de Israel.
Gray Sandstorm
O Gray Sandstorm (anteriormente DEV-0343) realiza extensa pulverização de senha emulando um navegador Firefox e usando IPs hospedados em uma rede proxy Tor. Eles normalmente têm como alvo dezenas a centenas de contas dentro de uma organização, dependendo do tamanho, e enumeram cada conta de dezenas a milhares de vezes.
Midnight Blizzard
O ator que a Microsoft rastreia como Midnight Blizzard (NOBELIUM) é um ator de ameaças baseado na Rússia, atribuído pelos governos dos EUA e do Reino Unido como o Serviço de Inteligência Estrangeira da Federação Russa, também conhecido como SVR.
Volt Typhoon
O grupo de atividades de estado-nação que a Microsoft monitora com o nome de Volt Typhoon tem origem na China. O foco do Volt Typhoon está na espionagem, roubo de dados e acesso a credenciais.
Smoke Sandstorm
Smoke Sandstorm (anteriormente conhecido como BOHRIUM/DEV-0056) comprometeu contas de email de uma empresa de integração de TI sediada no Bahrein em setembro de 2021. Essa empresa trabalha na integração de TI com clientes do governo do Bahrein, que provavelmente eram o alvo principal do Smoke Sandstorm.
Silk Typhoon
Em 2021, o Silk Typhoon (anteriormente HAFNIUM) usou exploits de dia 0 para atacar versões locais do Microsoft Exchange Server em ataques limitados e direcionados.
Forest Blizzard
Forest Blizzard (anteriormente conhecido como STRONTIUM) emprega várias técnicas de acesso inicial, que incluem a exploração de vulnerabilidades em aplicativos voltados para a web e, para a obtenção de credenciais, o uso de spear phishing e a implementação de ferramentas automatizadas de pulverização de senhas/ataque de força bruta, operando através da rede TOR
Midnight Blizzard
O ator que a Microsoft rastreia como Midnight Blizzard (NOBELIUM) é um ator de ameaças baseado na Rússia, atribuído pelos governos dos EUA e do Reino Unido como o Serviço de Inteligência Estrangeira da Federação Russa, também conhecido como SVR.
Volt Typhoon
O grupo de atividades de estado-nação que a Microsoft monitora com o nome de Volt Typhoon tem origem na China. O foco do Volt Typhoon está na espionagem, roubo de dados e acesso a credenciais.
Plaid Rain
Desde fevereiro de 2022, o Plaid Rain (anteriormente POLONIUM) tem sido observado principalmente visando organizações em Israel, com foco em setores críticos, como a manufatura, TI e a indústria de defesa de Israel.
Hazel Sandstorm
O Hazel Sandstorm (anteriormente EUROPIUM) foi publicamente vinculado ao Ministério de Inteligência e Segurança (MOIS) do Irã. A Microsoft avaliou com alta confiança que, em 15 de julho de 2022, atores patrocinados pelo governo iraniano realizaram um ataque cibernético destrutivo contra o governo albanês, interrompendo sites do governo e serviços públicos.
Cadet Blizzard
A Microsoft monitora o Cadet Blizzard (DEV-0586) como um ator de ameaças patrocinado pelo estado russo que começou a ser rastreado após eventos disruptivos e destrutivos que ocorreram em várias agências governamentais na Ucrânia em meados de janeiro de 2022.
Aqua Blizzard
O Aqua Blizzard (anteriormente ACTINIUM) usa emails de spear-phishing com anexos de macros mal-intencionados que empregam modelos remotos. O principal objetivo das atividades do Aqua Blizzard é obter acesso persistente a redes específicas, por meio da implantação de malware personalizado e ferramentas comerciais, para fins de coleta de informações.
Nylon Typhoon
O Nylon Typhoon (anteriormente NICKEL) usa exploits contra sistemas sem patches para comprometer serviços e dispositivos de acesso remoto. Após uma invasão bem-sucedida, eles usam dumpers ou ladrões de credenciais para obter credenciais legítimas, com as quais conseguem acesso às contas das vítimas e a sistemas de maior valor.
Crimson Sandstorm
Os atores do Crimson Sandstorm (anteriormente CURIUM) foram observados aproveitando uma rede de contas fictícias de redes sociais para criar confiança com os alvos e fornecer malware para, por fim, exfiltrar dados.
Diamond Sleet
O Diamond Sleet (anteriormente ZINC) é um ator de ameaças que realiza atividades globais em nome do governo norte-coreano. Ativo desde pelo menos 2009, o Diamond Sleet é conhecido por ter como alvo os setores de mídia, defesa, tecnologia da informação e pesquisa científica, bem como pesquisadores de segurança, com foco em espionagem, roubo de dados, ganhos financeiros e destruição de redes.
Gray Sandstorm
O Gray Sandstorm (anteriormente DEV-0343) realiza extensa pulverização de senha emulando um navegador Firefox e usando IPs hospedados em uma rede proxy Tor. Eles normalmente têm como alvo dezenas a centenas de contas dentro de uma organização, dependendo do tamanho, e enumeram cada conta de dezenas a milhares de vezes.
Manatee Tempest
Manatee Tempest (anteriormente DEV-0243) é um ator de ameaças que faz parte da economia de RaaS (ransomware como serviço), em parceria com outros atores de ameaças para fornecer carregadores Cobalt Strike personalizados.
Wine Tempest
O Wine Tempest (anteriormente PARINACOTA) costuma usar ransomware operado por humanos para ataques, principalmente implantando o ransomware Wadhrama. O grupo é engenhoso, muda de tática para atender às suas necessidades e usa máquinas comprometidas para diversos fins, incluindo mineração de criptomoeda, envio de emails de spam ou proxy para outros ataques.
Smoke Sandstorm
Smoke Sandstorm (anteriormente conhecido como BOHRIUM/DEV-0056) comprometeu contas de email de uma empresa de integração de TI sediada no Bahrein em setembro de 2021. Essa empresa trabalha na integração de TI com clientes do governo do Bahrein, que provavelmente eram o alvo principal do Smoke Sandstorm.
Pistachio Tempest
Pistachio Tempest (anteriormente DEV-0237) é um grupo associado à distribuição impactante de ransomware. A Microsoft observou que o Pistachio Tempest usa conteúdo de ransomware variado ao longo do tempo, à medida que o grupo experimenta novas ofertas de ransomware como serviço (RaaS), de Ryuk e Conti a Hive, Nokoyawa e, mais recentemente, Agenda e Mindware.
Periwinkle Tempest
Periwinkle Tempest (anteriormente conhecido como DEV-0193) é responsável por desenvolver, distribuir e gerenciar diversos tipos de payloads maliciosos, incluindo Trickbot, Bazaloader e AnchorDNS.
Caramel Tsunami
O Caramel Tsunami (anteriormente SOURGUM) geralmente vende armas cibernéticas, malware e explorações de dia zero, como parte de um pacote de hacking como serviço vendido a agências governamentais e outros atores mal-intencionados.
Caramel Tsunami
O Caramel Tsunami (anteriormente SOURGUM) geralmente vende armas cibernéticas, malware e explorações de dia zero, como parte de um pacote de hacking como serviço vendido a agências governamentais e outros atores mal-intencionados.
Silk Typhoon
Em 2021, o Silk Typhoon (anteriormente HAFNIUM) usou exploits de dia 0 para atacar versões locais do Microsoft Exchange Server em ataques limitados e direcionados.
Navegar por tópico
IA
A sua segurança é tão boa quanto as suas informações sobre ameaças
Comprometimento de email empresarial
Análise de comprometimento de email empresarial
Ransomware
Proteja sua organização contra ransomware
Encontre os especialistas
Perfil de especialista: Homa Hayatyfar
A Gerente principal de dados e ciência aplicada, Homa Hayatyfar, descreve o uso de modelos de machine learning para reforçar as defesas, apenas uma das muitas maneiras pelas quais a IA está mudando a face da segurança.
Encontre os especialistas
Perfil de especialista
Integrando as informações sobre ameaças cibernéticas ao contexto geopolítico
Perfil de especialista
Conselhos de especialista sobre os três desafios constantes em segurança cibernética
Perfil de especialista
O pesquisador de segurança Dustin Duran fala sobre como pensar como um invasor
Explore os relatórios de inteligência
Relatório de Defesa Digital da Microsoft de 2023
A edição mais recente do Relatório de Defesa Digital da Microsoft investiga o panorama de ameaças que está em constante mudança e apresenta oportunidades e desafios para aumentarmos nossa resiliência cibernética.
Mantenha a defesa cibernética na prática
Higiene cibernética
A higiene cibernética básica evita 99% dos ataques
Busca de ameaças
Conheça o Guia de Fundamentos da Busca de Ameaças
Crime cibernético
Como impedir que criminosos cibernéticos abusem das ferramentas de segurança
Introdução
Participe dos eventos da Microsoft
Expanda seus conhecimentos, aprenda novas habilidades e crie uma comunidade com eventos e oportunidades de aprendizado da Microsoft.
Fale conosco
Siga a Microsoft