Security Insider
Intelligence sulle minacce e informazioni di utilità pratica per essere un passo avanti
Annunciamo un nuovo Security Insider: scopri ulteriori analisi, approfondimenti e prospettive per CISO in arrivo entro la fine del mese.
IA
La guida Microsoft per proteggere l'azienda che adotta l'IA: attività iniziali
La prima di una nuova serie di guide che esplorano i potenziali rischi per le app con IA: perdita di dati, minacce emergenti e sfide di conformità, insieme ai rischi unici dell'IA agentica. Ottieni consigli pratici su come realizzare fondamenta sicure per l'IA con un approccio graduale.
Ultime novità
Report sulla difesa digitale Microsoft
10 informazioni dettagliate essenziali dal Report sulla difesa digitale Microsoft 2024
Crimine informatico
Siti web dei fornitori dei criminali informatici con base in Egitto sequestrati
Evento
Partecipa con gli esperti di sicurezza Microsoft al Black Hat USA 2025
Informazioni dettagliate sugli attori di minacce
Microsoft Threat Intelligence segue attivamente gli attori di minacce tra stati-nazioni, ransomware e attività criminali sotto osservazione. Queste informazioni dettagliate rappresentano le attività edite pubblicamente dai ricercatori di minacce di Microsoft e forniscono un catalogo centralizzato dei profili degli attori partendo dai blog di riferimento.
Mint Sandstorm
Mint Sandstorm (in precedenza PHOSPHORUS) è un gruppo di attività affiliato all'Iran, operativo almeno dal 2013.
Manatee Tempest
Manatee Tempest (in precedenza DEV-0243) è un attore di minacce che fa parte dell'economia Ransomware-as-a-Service (RaaS) e collabora con altri attori di minacce per fornire caricatori Cobalt Strike personalizzati.
Wine Tempest
Wine Tempest (in precedenza PARINACOTA) in genere usa ransomware con intervento umano per gli attacchi, distribuendo soprattutto il ransomware Wadhrama. Oltre a tattiche ingegnose e in evoluzione per soddisfare le sue esigenze, ha usato computer compromessi per vari scopi, tra cui il mining di criptovalute, l'invio di posta indesiderata o l'uso di proxy per altri attacchi.
Smoke Sandstorm
Smoke Sandstorm (in precedenza BOHRIUM/DEV-0056) ha compromesso account di posta elettronica di un'azienda di integrazione IT con sede in Bahrain nel settembre del 2021. Questa azienda lavora all'integrazione IT con client del governo del Bahrain, che rappresentavano presumibilmente le vere vittime che Smoke Sandstorm aspira a colpire.
Storm-0530
Un gruppo di attori originari della Corea del Nord che Microsoft monitora come Storm-0530 (in precedenza DEV-0530) ha iniziato a sviluppare e usare ransomware negli attacchi a partire da giugno 2021.
Silk Typhoon
Nel 2021, Silk Typhoon (in precedenza HAFNIUM) è un gruppo di attività stato-nazione con sede in Cina.
Forest Blizzard
Forest Blizzard (in precedenza STRONTIUM) usa diverse tecniche di accesso iniziale, tra cui l'uso di applicazioni con accesso Web vulnerabili e, per ottenere le credenziali, spear phishing e distribuzione di uno strumento password spraying/brute force automatizzato che opera tramite Tor.
Midnight Blizzard
L'attore di minacce che Microsoft traccia con il nome di Midnight Blizzard (NOBELIUM) ha sede in Russia ed è stato identificato dai governi degli Stati Uniti e del Regno Unito come servizio di intelligence estero della Federazione Russa, anche noto come SVR.
Volt Typhoon
L'attore che Microsoft traccia come Volt Typhoon è un gruppo di attività stato-nazione con sede in Cina. Volt Typhoon si concentra sullo spionaggio, sul furto di dati e credenziali di accesso.
Plaid Rain
Da febbraio 2022, è stato rilevato che Plaid Rain (in precedenza POLONIUM) colpisce principalmente le organizzazioni in Israele, in particolare quelle nei settori critici della produzione, dell'IT e della difesa di Israele.
Hazel Sandstorm
Hazel Sandstorm (in precedenza EUROPIUM) è stato pubblicamente collegato al Ministero delle informazioni e della sicurezza nazionale (MOIS) dell'Iran. Microsoft ha constatato con grande sicurezza che il 15 luglio 2022 attori sponsorizzati dal governo iraniano hanno condotto un cyberattacco distruttivo contro il governo albanese, danneggiando siti Web governativi e servizi pubblici.
Cadet Blizzard
Microsoft traccia Cadet Blizzard (in precedenza DEV-0586) in quanto gruppo di minacce sponsorizzato dal GRU russo in seguito agli eventi destabilizzanti e distruttivi che si sono verificati in diverse agenzie governative in Ucraina a metà gennaio del 2022.
Pistachio Tempest
Pistachio Tempest (in precedenza DEV-0237) è un gruppo associato a un'importante distribuzione di ransomware. Microsoft ha osservato l'uso da parte di Pistachio Tempest di diversi payload ransomware nel tempo man mano che il gruppo sperimenta le nuove offerte Ransomware-as-a-Service (RaaS), da Ryuk e Conti a Hive, Nokoyawa e, più recentemente, Agenda e Mindware.
Periwinkle Tempest
Periwinkle Tempest (in precedenza DEV-0193) sviluppa, distribuisce e gestisce molti payload diversi, tra cui Trickbot, Bazaloader e AnchorDNS.
Caramel Tsunami
Caramel Tsunami (in precedenza SOURGUM) in genere vende armi informatiche, di solito malware ed exploit zero-day, come parte di un pacchetto hacking-as-a-service venduto ad agenzie governative e altri attori di minacce.
Aqua Blizzard
Aqua Blizzard (in precedenza ACTINIUM) è un gruppo di attività stato nazione con sede in Russia. Il governo Ucraino ha attribuito pubblicamente questo gruppo al Servizio federale per la sicurezza della Federazione Russa (FSB).
Nylon Typhoon
Nylon Typhoon (in precedenza NICKEL) usa gli exploit contro i sistemi non aggiornati per compromettere appliance e servizi di accesso remoto. Subito dopo l'intrusione, questo gruppo usa dumper o stealer per ottenere credenziali legittime, che vengono poi utilizzate per accedere agli account delle vittime e a sistemi di maggior valore.
Crimson Sandstorm
È stato constatato che gli attori di Crimson Sandstorm (in precedenza CURIUM) sfruttano una rete di falsi account di social media per costruire rapporti di fiducia con le vittime e distribuire malware per esfiltrare i dati.
Diamond Sleet
L'attore che Microsoft traccia come Diamond Sleet è un gruppo di attività con sede in Corea del Nord che colpisce i settori di media, difesa e Information Technology (IT) su scala globale. Diamond Sleet si concentra su spionaggio, furto di dati personali e aziendali, guadagno finanziario e distruzione di reti aziendali.
Gray Sandstorm
Gray Sandstorm (in precedenza DEV-0343) conduce attacchi di password spraying estesi che emulano un browser Firefox e usano IP ospitati su una rete proxy Tor. Generalmente colpisce da decine a centinaia di account in un'organizzazione, a seconda delle dimensioni, ed enumera ogni account da decine a migliaia di volte.
Plaid Rain
Da febbraio 2022, è stato rilevato che Plaid Rain (in precedenza POLONIUM) colpisce principalmente le organizzazioni in Israele, in particolare quelle nei settori critici della produzione, dell'IT e della difesa di Israele.
Volt Typhoon
L'attore che Microsoft traccia come Volt Typhoon è un gruppo di attività stato-nazione con sede in Cina. Volt Typhoon si concentra sullo spionaggio, sul furto di dati e credenziali di accesso.
Mint Sandstorm
Mint Sandstorm (in precedenza PHOSPHORUS) è un gruppo di attività affiliato all'Iran, operativo almeno dal 2013.
Silk Typhoon
Nel 2021, Silk Typhoon (in precedenza HAFNIUM) è un gruppo di attività stato-nazione con sede in Cina.
Forest Blizzard
Forest Blizzard (in precedenza STRONTIUM) usa diverse tecniche di accesso iniziale, tra cui l'uso di applicazioni con accesso Web vulnerabili e, per ottenere le credenziali, spear phishing e distribuzione di uno strumento password spraying/brute force automatizzato che opera tramite Tor.
Midnight Blizzard
L'attore di minacce che Microsoft traccia con il nome di Midnight Blizzard (NOBELIUM) ha sede in Russia ed è stato identificato dai governi degli Stati Uniti e del Regno Unito come servizio di intelligence estero della Federazione Russa, anche noto come SVR.
Plaid Rain
Da febbraio 2022, è stato rilevato che Plaid Rain (in precedenza POLONIUM) colpisce principalmente le organizzazioni in Israele, in particolare quelle nei settori critici della produzione, dell'IT e della difesa di Israele.
Aqua Blizzard
Aqua Blizzard (in precedenza ACTINIUM) è un gruppo di attività stato nazione con sede in Russia. Il governo Ucraino ha attribuito pubblicamente questo gruppo al Servizio federale per la sicurezza della Federazione Russa (FSB).
Crimson Sandstorm
È stato constatato che gli attori di Crimson Sandstorm (in precedenza CURIUM) sfruttano una rete di falsi account di social media per costruire rapporti di fiducia con le vittime e distribuire malware per esfiltrare i dati.
Gray Sandstorm
Gray Sandstorm (in precedenza DEV-0343) conduce attacchi di password spraying estesi che emulano un browser Firefox e usano IP ospitati su una rete proxy Tor. Generalmente colpisce da decine a centinaia di account in un'organizzazione, a seconda delle dimensioni, ed enumera ogni account da decine a migliaia di volte.
Silk Typhoon
Nel 2021, Silk Typhoon (in precedenza HAFNIUM) è un gruppo di attività stato-nazione con sede in Cina.
Forest Blizzard
Forest Blizzard (in precedenza STRONTIUM) usa diverse tecniche di accesso iniziale, tra cui l'uso di applicazioni con accesso Web vulnerabili e, per ottenere le credenziali, spear phishing e distribuzione di uno strumento password spraying/brute force automatizzato che opera tramite Tor.
Volt Typhoon
L'attore che Microsoft traccia come Volt Typhoon è un gruppo di attività stato-nazione con sede in Cina. Volt Typhoon si concentra sullo spionaggio, sul furto di dati e credenziali di accesso.
Periwinkle Tempest
Periwinkle Tempest (in precedenza DEV-0193) sviluppa, distribuisce e gestisce molti payload diversi, tra cui Trickbot, Bazaloader e AnchorDNS.
Caramel Tsunami
Caramel Tsunami (in precedenza SOURGUM) in genere vende armi informatiche, di solito malware ed exploit zero-day, come parte di un pacchetto hacking-as-a-service venduto ad agenzie governative e altri attori di minacce.
Cadet Blizzard
Microsoft traccia Cadet Blizzard (in precedenza DEV-0586) in quanto gruppo di minacce sponsorizzato dal GRU russo in seguito agli eventi destabilizzanti e distruttivi che si sono verificati in diverse agenzie governative in Ucraina a metà gennaio del 2022.
Plaid Rain
Da febbraio 2022, è stato rilevato che Plaid Rain (in precedenza POLONIUM) colpisce principalmente le organizzazioni in Israele, in particolare quelle nei settori critici della produzione, dell'IT e della difesa di Israele.
Mint Sandstorm
Mint Sandstorm (in precedenza PHOSPHORUS) è un gruppo di attività affiliato all'Iran, operativo almeno dal 2013.
Smoke Sandstorm
Smoke Sandstorm (in precedenza BOHRIUM/DEV-0056) ha compromesso account di posta elettronica di un'azienda di integrazione IT con sede in Bahrain nel settembre del 2021. Questa azienda lavora all'integrazione IT con client del governo del Bahrain, che rappresentavano presumibilmente le vere vittime che Smoke Sandstorm aspira a colpire.
Forest Blizzard
Forest Blizzard (in precedenza STRONTIUM) usa diverse tecniche di accesso iniziale, tra cui l'uso di applicazioni con accesso Web vulnerabili e, per ottenere le credenziali, spear phishing e distribuzione di uno strumento password spraying/brute force automatizzato che opera tramite Tor.
Midnight Blizzard
L'attore di minacce che Microsoft traccia con il nome di Midnight Blizzard (NOBELIUM) ha sede in Russia ed è stato identificato dai governi degli Stati Uniti e del Regno Unito come servizio di intelligence estero della Federazione Russa, anche noto come SVR.
Volt Typhoon
L'attore che Microsoft traccia come Volt Typhoon è un gruppo di attività stato-nazione con sede in Cina. Volt Typhoon si concentra sullo spionaggio, sul furto di dati e credenziali di accesso.
Plaid Rain
Da febbraio 2022, è stato rilevato che Plaid Rain (in precedenza POLONIUM) colpisce principalmente le organizzazioni in Israele, in particolare quelle nei settori critici della produzione, dell'IT e della difesa di Israele.
Hazel Sandstorm
Hazel Sandstorm (in precedenza EUROPIUM) è stato pubblicamente collegato al Ministero delle informazioni e della sicurezza nazionale (MOIS) dell'Iran. Microsoft ha constatato con grande sicurezza che il 15 luglio 2022 attori sponsorizzati dal governo iraniano hanno condotto un cyberattacco distruttivo contro il governo albanese, danneggiando siti Web governativi e servizi pubblici.
Cadet Blizzard
Microsoft traccia Cadet Blizzard (in precedenza DEV-0586) in quanto gruppo di minacce sponsorizzato dal GRU russo in seguito agli eventi destabilizzanti e distruttivi che si sono verificati in diverse agenzie governative in Ucraina a metà gennaio del 2022.
Caramel Tsunami
Caramel Tsunami (in precedenza SOURGUM) in genere vende armi informatiche, di solito malware ed exploit zero-day, come parte di un pacchetto hacking-as-a-service venduto ad agenzie governative e altri attori di minacce.
Aqua Blizzard
Aqua Blizzard (in precedenza ACTINIUM) è un gruppo di attività stato nazione con sede in Russia. Il governo Ucraino ha attribuito pubblicamente questo gruppo al Servizio federale per la sicurezza della Federazione Russa (FSB).
Nylon Typhoon
Nylon Typhoon (in precedenza NICKEL) usa gli exploit contro i sistemi non aggiornati per compromettere appliance e servizi di accesso remoto. Subito dopo l'intrusione, questo gruppo usa dumper o stealer per ottenere credenziali legittime, che vengono poi utilizzate per accedere agli account delle vittime e a sistemi di maggior valore.
Crimson Sandstorm
È stato constatato che gli attori di Crimson Sandstorm (in precedenza CURIUM) sfruttano una rete di falsi account di social media per costruire rapporti di fiducia con le vittime e distribuire malware per esfiltrare i dati.
Silk Typhoon
Nel 2021, Silk Typhoon (in precedenza HAFNIUM) è un gruppo di attività stato-nazione con sede in Cina.
Midnight Blizzard
L'attore di minacce che Microsoft traccia con il nome di Midnight Blizzard (NOBELIUM) ha sede in Russia ed è stato identificato dai governi degli Stati Uniti e del Regno Unito come servizio di intelligence estero della Federazione Russa, anche noto come SVR.
Pistachio Tempest
Pistachio Tempest (in precedenza DEV-0237) è un gruppo associato a un'importante distribuzione di ransomware. Microsoft ha osservato l'uso da parte di Pistachio Tempest di diversi payload ransomware nel tempo man mano che il gruppo sperimenta le nuove offerte Ransomware-as-a-Service (RaaS), da Ryuk e Conti a Hive, Nokoyawa e, più recentemente, Agenda e Mindware.
Periwinkle Tempest
Periwinkle Tempest (in precedenza DEV-0193) sviluppa, distribuisce e gestisce molti payload diversi, tra cui Trickbot, Bazaloader e AnchorDNS.
Aqua Blizzard
Aqua Blizzard (in precedenza ACTINIUM) è un gruppo di attività stato nazione con sede in Russia. Il governo Ucraino ha attribuito pubblicamente questo gruppo al Servizio federale per la sicurezza della Federazione Russa (FSB).
Silk Typhoon
Nel 2021, Silk Typhoon (in precedenza HAFNIUM) è un gruppo di attività stato-nazione con sede in Cina.
Volt Typhoon
L'attore che Microsoft traccia come Volt Typhoon è un gruppo di attività stato-nazione con sede in Cina. Volt Typhoon si concentra sullo spionaggio, sul furto di dati e credenziali di accesso.
Plaid Rain
Da febbraio 2022, è stato rilevato che Plaid Rain (in precedenza POLONIUM) colpisce principalmente le organizzazioni in Israele, in particolare quelle nei settori critici della produzione, dell'IT e della difesa di Israele.
Volt Typhoon
L'attore che Microsoft traccia come Volt Typhoon è un gruppo di attività stato-nazione con sede in Cina. Volt Typhoon si concentra sullo spionaggio, sul furto di dati e credenziali di accesso.
Caramel Tsunami
Caramel Tsunami (in precedenza SOURGUM) in genere vende armi informatiche, di solito malware ed exploit zero-day, come parte di un pacchetto hacking-as-a-service venduto ad agenzie governative e altri attori di minacce.
Manatee Tempest
Manatee Tempest (in precedenza DEV-0243) è un attore di minacce che fa parte dell'economia Ransomware-as-a-Service (RaaS) e collabora con altri attori di minacce per fornire caricatori Cobalt Strike personalizzati.
Smoke Sandstorm
Smoke Sandstorm (in precedenza BOHRIUM/DEV-0056) ha compromesso account di posta elettronica di un'azienda di integrazione IT con sede in Bahrain nel settembre del 2021. Questa azienda lavora all'integrazione IT con client del governo del Bahrain, che rappresentavano presumibilmente le vere vittime che Smoke Sandstorm aspira a colpire.
Storm-0530
Un gruppo di attori originari della Corea del Nord che Microsoft monitora come Storm-0530 (in precedenza DEV-0530) ha iniziato a sviluppare e usare ransomware negli attacchi a partire da giugno 2021.
Mint Sandstorm
Mint Sandstorm (in precedenza PHOSPHORUS) è un gruppo di attività affiliato all'Iran, operativo almeno dal 2013.
Silk Typhoon
Nel 2021, Silk Typhoon (in precedenza HAFNIUM) è un gruppo di attività stato-nazione con sede in Cina.
Midnight Blizzard
L'attore di minacce che Microsoft traccia con il nome di Midnight Blizzard (NOBELIUM) ha sede in Russia ed è stato identificato dai governi degli Stati Uniti e del Regno Unito come servizio di intelligence estero della Federazione Russa, anche noto come SVR.
Aqua Blizzard
Aqua Blizzard (in precedenza ACTINIUM) è un gruppo di attività stato nazione con sede in Russia. Il governo Ucraino ha attribuito pubblicamente questo gruppo al Servizio federale per la sicurezza della Federazione Russa (FSB).
Nylon Typhoon
Nylon Typhoon (in precedenza NICKEL) usa gli exploit contro i sistemi non aggiornati per compromettere appliance e servizi di accesso remoto. Subito dopo l'intrusione, questo gruppo usa dumper o stealer per ottenere credenziali legittime, che vengono poi utilizzate per accedere agli account delle vittime e a sistemi di maggior valore.
Aqua Blizzard
Aqua Blizzard (in precedenza ACTINIUM) è un gruppo di attività stato nazione con sede in Russia. Il governo Ucraino ha attribuito pubblicamente questo gruppo al Servizio federale per la sicurezza della Federazione Russa (FSB).
Silk Typhoon
Nel 2021, Silk Typhoon (in precedenza HAFNIUM) è un gruppo di attività stato-nazione con sede in Cina.
Caramel Tsunami
Caramel Tsunami (in precedenza SOURGUM) in genere vende armi informatiche, di solito malware ed exploit zero-day, come parte di un pacchetto hacking-as-a-service venduto ad agenzie governative e altri attori di minacce.
Caramel Tsunami
Caramel Tsunami (in precedenza SOURGUM) in genere vende armi informatiche, di solito malware ed exploit zero-day, come parte di un pacchetto hacking-as-a-service venduto ad agenzie governative e altri attori di minacce.
Aqua Blizzard
Aqua Blizzard (in precedenza ACTINIUM) è un gruppo di attività stato nazione con sede in Russia. Il governo Ucraino ha attribuito pubblicamente questo gruppo al Servizio federale per la sicurezza della Federazione Russa (FSB).
Diamond Sleet
L'attore che Microsoft traccia come Diamond Sleet è un gruppo di attività con sede in Corea del Nord che colpisce i settori di media, difesa e Information Technology (IT) su scala globale. Diamond Sleet si concentra su spionaggio, furto di dati personali e aziendali, guadagno finanziario e distruzione di reti aziendali.
Forest Blizzard
Forest Blizzard (in precedenza STRONTIUM) usa diverse tecniche di accesso iniziale, tra cui l'uso di applicazioni con accesso Web vulnerabili e, per ottenere le credenziali, spear phishing e distribuzione di uno strumento password spraying/brute force automatizzato che opera tramite Tor.
Midnight Blizzard
L'attore di minacce che Microsoft traccia con il nome di Midnight Blizzard (NOBELIUM) ha sede in Russia ed è stato identificato dai governi degli Stati Uniti e del Regno Unito come servizio di intelligence estero della Federazione Russa, anche noto come SVR.
Volt Typhoon
L'attore che Microsoft traccia come Volt Typhoon è un gruppo di attività stato-nazione con sede in Cina. Volt Typhoon si concentra sullo spionaggio, sul furto di dati e credenziali di accesso.
Plaid Rain
Da febbraio 2022, è stato rilevato che Plaid Rain (in precedenza POLONIUM) colpisce principalmente le organizzazioni in Israele, in particolare quelle nei settori critici della produzione, dell'IT e della difesa di Israele.
Cadet Blizzard
Microsoft traccia Cadet Blizzard (in precedenza DEV-0586) in quanto gruppo di minacce sponsorizzato dal GRU russo in seguito agli eventi destabilizzanti e distruttivi che si sono verificati in diverse agenzie governative in Ucraina a metà gennaio del 2022.
Crimson Sandstorm
È stato constatato che gli attori di Crimson Sandstorm (in precedenza CURIUM) sfruttano una rete di falsi account di social media per costruire rapporti di fiducia con le vittime e distribuire malware per esfiltrare i dati.
Diamond Sleet
L'attore che Microsoft traccia come Diamond Sleet è un gruppo di attività con sede in Corea del Nord che colpisce i settori di media, difesa e Information Technology (IT) su scala globale. Diamond Sleet si concentra su spionaggio, furto di dati personali e aziendali, guadagno finanziario e distruzione di reti aziendali.
Gray Sandstorm
Gray Sandstorm (in precedenza DEV-0343) conduce attacchi di password spraying estesi che emulano un browser Firefox e usano IP ospitati su una rete proxy Tor. Generalmente colpisce da decine a centinaia di account in un'organizzazione, a seconda delle dimensioni, ed enumera ogni account da decine a migliaia di volte.
Silk Typhoon
Nel 2021, Silk Typhoon (in precedenza HAFNIUM) è un gruppo di attività stato-nazione con sede in Cina.
Forest Blizzard
Forest Blizzard (in precedenza STRONTIUM) usa diverse tecniche di accesso iniziale, tra cui l'uso di applicazioni con accesso Web vulnerabili e, per ottenere le credenziali, spear phishing e distribuzione di uno strumento password spraying/brute force automatizzato che opera tramite Tor.
Midnight Blizzard
L'attore di minacce che Microsoft traccia con il nome di Midnight Blizzard (NOBELIUM) ha sede in Russia ed è stato identificato dai governi degli Stati Uniti e del Regno Unito come servizio di intelligence estero della Federazione Russa, anche noto come SVR.
Diamond Sleet
L'attore che Microsoft traccia come Diamond Sleet è un gruppo di attività con sede in Corea del Nord che colpisce i settori di media, difesa e Information Technology (IT) su scala globale. Diamond Sleet si concentra su spionaggio, furto di dati personali e aziendali, guadagno finanziario e distruzione di reti aziendali.
Silk Typhoon
Nel 2021, Silk Typhoon (in precedenza HAFNIUM) è un gruppo di attività stato-nazione con sede in Cina.
Volt Typhoon
L'attore che Microsoft traccia come Volt Typhoon è un gruppo di attività stato-nazione con sede in Cina. Volt Typhoon si concentra sullo spionaggio, sul furto di dati e credenziali di accesso.
Plaid Rain
Da febbraio 2022, è stato rilevato che Plaid Rain (in precedenza POLONIUM) colpisce principalmente le organizzazioni in Israele, in particolare quelle nei settori critici della produzione, dell'IT e della difesa di Israele.
Gray Sandstorm
Gray Sandstorm (in precedenza DEV-0343) conduce attacchi di password spraying estesi che emulano un browser Firefox e usano IP ospitati su una rete proxy Tor. Generalmente colpisce da decine a centinaia di account in un'organizzazione, a seconda delle dimensioni, ed enumera ogni account da decine a migliaia di volte.
Midnight Blizzard
L'attore di minacce che Microsoft traccia con il nome di Midnight Blizzard (NOBELIUM) ha sede in Russia ed è stato identificato dai governi degli Stati Uniti e del Regno Unito come servizio di intelligence estero della Federazione Russa, anche noto come SVR.
Volt Typhoon
L'attore che Microsoft traccia come Volt Typhoon è un gruppo di attività stato-nazione con sede in Cina. Volt Typhoon si concentra sullo spionaggio, sul furto di dati e credenziali di accesso.
Smoke Sandstorm
Smoke Sandstorm (in precedenza BOHRIUM/DEV-0056) ha compromesso account di posta elettronica di un'azienda di integrazione IT con sede in Bahrain nel settembre del 2021. Questa azienda lavora all'integrazione IT con client del governo del Bahrain, che rappresentavano presumibilmente le vere vittime che Smoke Sandstorm aspira a colpire.
Silk Typhoon
Nel 2021, Silk Typhoon (in precedenza HAFNIUM) è un gruppo di attività stato-nazione con sede in Cina.
Forest Blizzard
Forest Blizzard (in precedenza STRONTIUM) usa diverse tecniche di accesso iniziale, tra cui l'uso di applicazioni con accesso Web vulnerabili e, per ottenere le credenziali, spear phishing e distribuzione di uno strumento password spraying/brute force automatizzato che opera tramite Tor.
Midnight Blizzard
L'attore di minacce che Microsoft traccia con il nome di Midnight Blizzard (NOBELIUM) ha sede in Russia ed è stato identificato dai governi degli Stati Uniti e del Regno Unito come servizio di intelligence estero della Federazione Russa, anche noto come SVR.
Volt Typhoon
L'attore che Microsoft traccia come Volt Typhoon è un gruppo di attività stato-nazione con sede in Cina. Volt Typhoon si concentra sullo spionaggio, sul furto di dati e credenziali di accesso.
Plaid Rain
Da febbraio 2022, è stato rilevato che Plaid Rain (in precedenza POLONIUM) colpisce principalmente le organizzazioni in Israele, in particolare quelle nei settori critici della produzione, dell'IT e della difesa di Israele.
Hazel Sandstorm
Hazel Sandstorm (in precedenza EUROPIUM) è stato pubblicamente collegato al Ministero delle informazioni e della sicurezza nazionale (MOIS) dell'Iran. Microsoft ha constatato con grande sicurezza che il 15 luglio 2022 attori sponsorizzati dal governo iraniano hanno condotto un cyberattacco distruttivo contro il governo albanese, danneggiando siti Web governativi e servizi pubblici.
Cadet Blizzard
Microsoft traccia Cadet Blizzard (in precedenza DEV-0586) in quanto gruppo di minacce sponsorizzato dal GRU russo in seguito agli eventi destabilizzanti e distruttivi che si sono verificati in diverse agenzie governative in Ucraina a metà gennaio del 2022.
Aqua Blizzard
Aqua Blizzard (in precedenza ACTINIUM) è un gruppo di attività stato nazione con sede in Russia. Il governo Ucraino ha attribuito pubblicamente questo gruppo al Servizio federale per la sicurezza della Federazione Russa (FSB).
Nylon Typhoon
Nylon Typhoon (in precedenza NICKEL) usa gli exploit contro i sistemi non aggiornati per compromettere appliance e servizi di accesso remoto. Subito dopo l'intrusione, questo gruppo usa dumper o stealer per ottenere credenziali legittime, che vengono poi utilizzate per accedere agli account delle vittime e a sistemi di maggior valore.
Crimson Sandstorm
È stato constatato che gli attori di Crimson Sandstorm (in precedenza CURIUM) sfruttano una rete di falsi account di social media per costruire rapporti di fiducia con le vittime e distribuire malware per esfiltrare i dati.
Diamond Sleet
L'attore che Microsoft traccia come Diamond Sleet è un gruppo di attività con sede in Corea del Nord che colpisce i settori di media, difesa e Information Technology (IT) su scala globale. Diamond Sleet si concentra su spionaggio, furto di dati personali e aziendali, guadagno finanziario e distruzione di reti aziendali.
Gray Sandstorm
Gray Sandstorm (in precedenza DEV-0343) conduce attacchi di password spraying estesi che emulano un browser Firefox e usano IP ospitati su una rete proxy Tor. Generalmente colpisce da decine a centinaia di account in un'organizzazione, a seconda delle dimensioni, ed enumera ogni account da decine a migliaia di volte.
Manatee Tempest
Manatee Tempest (in precedenza DEV-0243) è un attore di minacce che fa parte dell'economia Ransomware-as-a-Service (RaaS) e collabora con altri attori di minacce per fornire caricatori Cobalt Strike personalizzati.
Wine Tempest
Wine Tempest (in precedenza PARINACOTA) in genere usa ransomware con intervento umano per gli attacchi, distribuendo soprattutto il ransomware Wadhrama. Oltre a tattiche ingegnose e in evoluzione per soddisfare le sue esigenze, ha usato computer compromessi per vari scopi, tra cui il mining di criptovalute, l'invio di posta indesiderata o l'uso di proxy per altri attacchi.
Smoke Sandstorm
Smoke Sandstorm (in precedenza BOHRIUM/DEV-0056) ha compromesso account di posta elettronica di un'azienda di integrazione IT con sede in Bahrain nel settembre del 2021. Questa azienda lavora all'integrazione IT con client del governo del Bahrain, che rappresentavano presumibilmente le vere vittime che Smoke Sandstorm aspira a colpire.
Pistachio Tempest
Pistachio Tempest (in precedenza DEV-0237) è un gruppo associato a un'importante distribuzione di ransomware. Microsoft ha osservato l'uso da parte di Pistachio Tempest di diversi payload ransomware nel tempo man mano che il gruppo sperimenta le nuove offerte Ransomware-as-a-Service (RaaS), da Ryuk e Conti a Hive, Nokoyawa e, più recentemente, Agenda e Mindware.
Periwinkle Tempest
Periwinkle Tempest (in precedenza DEV-0193) sviluppa, distribuisce e gestisce molti payload diversi, tra cui Trickbot, Bazaloader e AnchorDNS.
Caramel Tsunami
Caramel Tsunami (in precedenza SOURGUM) in genere vende armi informatiche, di solito malware ed exploit zero-day, come parte di un pacchetto hacking-as-a-service venduto ad agenzie governative e altri attori di minacce.
Caramel Tsunami
Caramel Tsunami (in precedenza SOURGUM) in genere vende armi informatiche, di solito malware ed exploit zero-day, come parte di un pacchetto hacking-as-a-service venduto ad agenzie governative e altri attori di minacce.
Silk Typhoon
Nel 2021, Silk Typhoon (in precedenza HAFNIUM) è un gruppo di attività stato-nazione con sede in Cina.
Sfoglia per argomento
IA
La sicurezza è importante tanto quanto l'intelligence sulle minacce
Compromissione della posta elettronica aziendale
Analisi della compromissione della posta elettronica aziendale
Ransomware
Proteggi la tua organizzazione dal ransomware
Ti presentiamo gli esperti
Podcast di Microsoft Threat Intelligence
Ascolta le storie su come la community virtuale Microsoft Threat Intelligence affronta le numerose minacce in continua evoluzione - scoprendo APT, bande di criminali informatici, malware, vulnerabilità e altro nel mondo delle minacce informatiche.
Ti presentiamo gli esperti
IA
Tattiche di IA emergenti utilizzate da attori di minacce
Profilo dell’esperto
Difesa contro i rischi di trasferimento di schede SIM, ingegneria sociale basata sull’IA
Profilo dell'esperto
Ti presentiamo gli esperti che monitorano le frodi relative ai buoni regalo di Storm-0539
Consulta il report sull'intelligence
Report sulla difesa digitale Microsoft
L'ultima edizione del Report sulla difesa digitale Microsoft esplora il panorama delle minacce in evoluzione e analizza le opportunità e le sfide derivanti dall'implementazione della resilienza informatica.
Adotta una difesa pratica dagli attacchi informatici
IA
Il CISO che utilizza l'intelligenza artificiale: definire strategie migliori con le informazioni dell’intelligence sulle minacce
Igiene informatica
L'igiene informatica di base previene il 99% degli attacchi
Crimine informatico
Lotta ai criminali informatici per impedire loro di usare in modo improprio gli strumenti di sicurezza
Scopri di più
Blog di Microsoft Threat Intelligence
Scopri le ultime novità sul blog di Microsoft Threat Intelligence che analizza le minacce più recenti e offre guida e assistenza alla protezione dei clienti.
Rileva le minacce
Serie sfida Cyber prodotta da Microsoft e KC7
In questo videogioco di cybersecurity, assumi il ruolo di analista delle minaccia e impara a svolgere indagini su realistiche intrusioni.
Segui Microsoft Security