Ураганы, тайфуны и цунами: как Microsoft теперь классифицирует киберпреступников?

Вероятно, ни для кого не секрет, что каждая более-менее крупная компания по кибербезопасности, которая самостоятельно занимается отслеживанием киберугроз, чаще всего сама даёт названия обнаруженным группам злоумышленников и одиночным хакерам, отталкиваясь от определённой логики, принятой внутри компании.

Так, вчера подразделение Microsoft Threat Intelligence объявило , что переходит к новому принципу именования группировок киберпреступников, используя классификацию, привязанную к погодным явлениям.

Новая система таксономии в перспективе должна упростить работу специалистов по кибербезопасности, как редмондовских, так и всех остальных, а также устранить путаницу в сотнях различных хакерских объединений. Благодаря новой классификации, лишь взглянув на название новой группировки, можно будет сразу понять, из какой она страны, и какой тип вредоносной деятельности осуществляет.

Microsoft понимает, что и другие компании в отрасли кибербезопасности имеют свои уникальные классификации названий. Компания заявила, что будет стремиться включать в свои базы и прочие названия группировок, чтобы отразить аналитические совпадения и помочь клиентам принимать обоснованные решения.

В таблице ниже показан новый принцип таксономии названий, которого отныне будет придерживаться Microsoft:

Субъектам угроз в одном и том же семействе погодных условий даётся прилагательное, позволяющее различать группы, имеющие разные техники и методы, инфраструктуру, цели или другие выявленные закономерности.

Примеры ниже демонстрируют, как новая система наименований работает для хакеров из России и Ирана:

Для совсем недавно обнаруженных кластеров вредоносной активности специалисты Microsoft будут использовать временное обозначение Storm (ранее было DEV) и четырехзначный номер. Как только исследователи соберут больше информации о злоумышленнике, Storm преобразуется в конкретное название по вышеописанной классификации.

Microsoft считает, что такой таксономический подход, наряду с новой системой значков, позволяющих определять киберпреступников ещё и визуально, сильно упростит идентификацию и запоминание субъектов угроз.

Подход к наименованию, который компания применяла ранее, больше использоваться не будет. Все известные объединения злоумышленников уже были переименованы, а чтобы не возникло ещё большей путаницы, специалисты Microsoft создали отдельную большую таблицу , где указаны как старые, так и новые названия известных группировок.

По словам Microsoft, специалисты компании всегда стремятся получить все возможные знания об инфраструктуре рассматриваемой группы, её инструментах, виктимологии и мотивации. Компания оперативно расширяет и обновляет сведения о злоумышленниках на основе своей собственной телеметрии, а также на основе отчётов по кибербезопасности других поставщиков в отрасли.