Grupos de Ameaça Persistente Avançada (APT) são classificados como organizações que realizam ataques ativos contra órgãos governamentais e empresas estratégicas por meio de espionagem ou sabotagem cibernética, causando grande estrago em seus alvos.
Uma vez que consigam invadir uma rede, empregam diversos métodos para roubar informações valiosas, tanto para receber resgates quanto para sabotar sistemas – como desligar redes de energia elétrica. E é crucial, para esses órgãos e empresas, identificar a atuação desses grupos antes que os ataques violem o perímetro.
O MITRE ATT & CK, uma base de conhecimento sobre táticas e técnicas usadas para criar modelos e metodologias de ameaças, possui 94 grupos diferentes registrados como operações de APT. Esses grupos estão por todo o mundo e incluem grupos financiados por governos e grupos autônomos.
O termo Ameaça Persistente Avançada foi cunhado pela Força Aérea dos Estados Unidos no começo dos anos 2000, mas é provável que esses grupos operem desde o começo da Internet. Muitos adotam um animal em seu nome com base no país de onde nasceram.
Abaixo reunimos alguns dos grupos APT que mais se destacam, listados sem ordem específica, com estatísticas sobre sua atuação. A maioria das origens não foi confirmada.
É importante observar que a Varonis não apoia ou tolera práticas cibernéticas maliciosas, este artigo é estritamente para fins educacionais.
Lazarus Group
Vinculado ao Gabinete Geral de Reconhecimento (RGB) do governo norte-coreano, tem como meta realizar ataques contra Coréia do Sul e Estados Unidos. Um dos ataques mais conhecidos foi contra a Sony, em 2014, por ter retratado o líder Kim Jong-um de maneira desagradável.
Origem: Coréia do Norte
Estabelecido: 2009
Metas principais: Coréia do Sul, Estados Unidos
Arma: Ransomware (WannaCry, MimiKatz)
Equation Group
Também conhecido com Shadow Brokers está potencialmente conectado à Agência de Segurança Nacional (NSA) dos Estados Unidos. Seu provável ataque mais conhecido foi realizado em 2010, contra o programa nuclear do Irã.
Origem: Estados Unidos
Estabelecido: 2001
Alvos principais: Irã, Síria, Afeganistão, Mali
Arma: explorações de dia zero, spyware
Fancy Bear
Com possível origem na Russia, o grupo tem grande envolvimento político e provavelmente foi responsável por interferir na campanha de Hilary Clinton à presidência dos Estados Unidos em 2016. O governo russo nega responsabilidade pelo grupo.
Origem: Rússia
Estabelecido: 2004
Alvos principais: Estados Unidos e Comitê Nacional Democrata (DNC), Alemanha
Arma: Spear-phishing, Mimikatz, Coreshell
Machete
Grupo sul-americano muito difícil de ser rastreado. Provavelmente é venezuelano, pois muitos dos seus ataques ocorreram no país. Usam táticas avançadas de phishing para obter acesso a redes e roubar dados confidenciais.
Origem: América do Sul
Estabelecido: 2010
Metas primárias: militares venezuelanos e Colômbia, Nicarágua e Equador
Arma: Phishing
Elfin
Também conhecido como APT 33, pode estar vinculado ao Irã e foca seus ataques em empresas aerospaciais, aviação e energia. O grupo criou um malware personalizado, o Stonedrill.
Origem: Irã
Estabelecido: 2013
Metas principais: Arábia Saudita e EUA (aeroespacial e energia)
Arma: Shamoon, Mimikatz, PowerSploit e spyware
Mytich Leopard
Possivelmente vinculado ao Paquistão, concentra recursos de hackers e spear-phishing contra órgãos governamentais da Índia, visando obter informações sigilosas do governo indiano, militares e setores privados. Por meio de e-mails com spear-phishing, o grupo infecta alvos usando um arquivo malicioso do Excel.
Origem: Paquistão
Estabelecido: 2016
Alvos principais: Índia e exército indiano
Arma: Engenharia social
Dynamite Panda
Vinculado à China, o grupo tem como alvos principais organizações médicas, indústrias, órgãos governamentais e de tecnologia com sede dos Estados Unidos. Em 2014, ficou famoso por violar dados privados protegidos pelo HIPAA e roubar informações de 4,5 milhões de pacientes.
Origem: China
Estabelecido: 2009
Metas principais: Estados Unidos
Arma: Trojan ransomware
Charming Kitten
A maioria dos seus ataques visaram iranianos conhecidos por sua atuação ativista, jornalistas e acadêmicos. Na esperança de espionar e recrutar desertores o grupo realizou uma operação de espionagem durante três anos, dirigida a figuras políticas dos Estados Unidos por meio de contas fraudulentas de jornalistas.
Origem: Irã
Estabelecido: 2014
Metas principais: Irã, Israel, EUA e Reino Unido
Arma escolhida: hackear contas de e-mail
OceanLotus
Sediado no Vietnâ, o grupo OceanLotus foca seus ataques em outros países do Sudeste Asiático e também contra Austrália, Estados Unidos e Alemanha. Um dos mais recentes ataques realizados pelo grupo foi uma violação de dados da Toyota. Implantam malware e usam táticas de exploração de dia zero para realizar a violação.
Origem: Vietnam
Estabelecido: 2014
Metas principais: países do Sudeste Asiático
Arma: Malware
A plataforma Varonis DatAdvantage permite o rastreamento e monitoramento de atividades suspeitas, analisa o comportamento dos usuários e reporta todas as ações que estão acontecendo nos servidores. Solicite um teste grátis e conheça nossa solução.