São Paulo — InkDesign News — Um novo esforço de colaboração entre a CrowdStrike e a Microsoft visa padronizar os nomes de grupos de ameaças cibernéticas, iniciando pelo grupo de espionagem BlackTech, vinculado à China. A iniciativa surge diante da confusão crescente no setor, onde cada empresa usa nomenclaturas diferentes para os mesmos agentes de ameaças.
Vetor de ataque
O grupo BlackTech, também chamado de Circuit Panda e Palmerworm, foi responsável por implantar malware em uma empresa que fornece serviços de telecomunicações para a Copa do Mundo FIFA 2022. Problemas de nomenclatura têm dificultado o rastreamento preciso dessas ameaças, especialmente em um cenário onde um único grupo pode ser referido por múltiplos nomes em diferentes empresas.
Impacto e resposta
A colaboração entre empresas de segurança busca “facilitar” a compreensão sobre quais grupos estão por trás de certas ações cibernéticas. Segundo Adam Meyers, da CrowdStrike, essa iniciativa permite que as equipes de segurança priorizem respostas e prevejam atividades futuras, mas ainda enfrenta desafios significativos. “Acho que todas essas empresas não podem usar um único sistema de nomenclatura” (“That’s really why I think that all of these companies can’t use one naming system”), comentou Meyers.
Além disso, a Secureworks mantém um “Rosetta Stone” com mais de 160 grupos e suas correspondências de nomes, indicando que os sistemas de nomenclatura continuam a divergir. O tempo e os recursos necessários para alinhar os dados e garantir a equivalência são imensos.
Análise e recomendações
Identificar e nomear grupos de ameaças é um processo lento. Esses nomes funcionam como uma referência rápida para pesquisadores e equipes de segurança, ajudando na coleta de informações sobre táticas, técnicas e procedimentos (TTPs). As equipes proativas de segurança devem continuar a monitorar os TTPs conhecidos dos grupos para evitar compromissos em seus ambientes.
É recomendável que as organizações realizem auditorias contínuas e adotem práticas de detecção e resposta a incidentes para mitigar riscos potenciais associados a esses grupos, especialmente os vinculados a estados nações ou cibercriminalidade.
Enquanto a indústria se adapta a essas iniciativas de desconfusão, as atualizações e a interatividade entre as empresas de segurança continuam a acontecer. Com um cenário dinâmico como este, as expectativas futuras podem incluir um maior entendimento e colaboração entre empresas para reforçar a segurança cibernética no setor.
Fonte: (Dark Reading – Segurança Cibernética)
