Uhkametsä

Kevätkausi on virallisesti avattu Uhkametsän toimesta! Tällä kertaa käsitellään AXIOS tarjontaketjuhyökkäystä sekä hieman eksoottisempaa Marimo sovelluksesta löytynyttä RCE haavoittuvuutta. Tarjontaketjuhyökkäykset ovat yleistymässä ja erilaiset applikaatiot voivatkin toimia ensimmäisenä jalansijana ympäristöön. Vain aika näyttää, tarjoillaanko näiden kautta rottia jatkossakin vai jotakin aivan muuta? Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/

Tässä jaksossa onkin häivähdys alkuaikoja, kun keskustelu pyörii kahden eri haitakkeen ympärillä. Keskeisinä komponentteina jälleen tekoäly, infostealerit, ClickFix, supply chain compromise ja paljon muuta! PS. Onko nyt virallisesti lupa sanoa, että macOS ei ole enää haittisvapaa? Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/

Keväinen tervehdys Uhkametsältä! Uusimmassa jaksossa otetaan katsaus SLSH ryhmään (Scattered Spider, LAPSUS$, ShinyHunters) ja heidän toimintaansa sosiaalisinsinööreinnin maailmassa. Toisessa osiossa kuullaan hämmästyttävä kertomus hyökkäävästä tekoälyagentista, joka muuttuu lopulta Yhdysvaltain presidentiksi. Tervetuloa kuulolle! Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/

Tervehdys Uhkametsältä TAAS!Uusimmassa jaksossa käsitellään tekoälyn luomia mahdollisuuksia ja parannuksia SOC ja Incident Response työhön ja tarkastellaan miksi kiristyshaittaohjelmahyökkäykset ovat katoava luonnonvara. Jakson alussa myös lyhyt pohjustus miksi seuraava jakso julkaistaan jo näin pian edellisen jälkeen! Tervetuloa kuulemaan Uhkametsän osittaista paluuta juurilleen uhkien ja ajankohtaisten kybertapahtumien pariin. Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/

Tervehdys Uhkametsältä pitkästä aikaa!  Pienen hiljaiselon jälkeen tarkastellaan Disobey 2026 tapahtuman parhaita hetkiä ja käsitellään myös (todennäköisesti) Sandworm APT ryhmän edesottamuksia Puolan energiasektoria vastaan. Tervetuloa kuulolle taas!Jakson lähteet: https://therecord.media/russia-eset-sandworm-poland-hack https://www.gov.pl/web/primeminister/poland-stops-cyberattacks-on-energy-infrastructure Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/

Uhkametsältä toivotamme kaikille kuulijoille ja katsojille hyvää uutta vuotta 2026! Tämän kertaisessa UV-jaksossa otetaan katsaus menneeseen vuoteen sekä tehdään ennusteita vuoden 2026 uhkakentälle. Spoilerina ransomware ei ehkä ole enää suurin uhka!Miltä uhkakenttä näyttää teidän mielestä vuonna 2026? Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/

Kaamoksen täyteiset terveiset Uhkametsältä! Tämän kertaisessa jaksossa perehdytään näkyvyyden parantumiseen Windows ympäristöissä Sysmonin avulla, käsitellään koneoppimisen ja generatiivisen tekoälyn käyttötapauksia ja mahdollisuuksia. Jakson loppupuolella otetaan täyskäännös ja ihmetellään pilviympäristöissä tapahtuvia pahuuksia ja miten identiteetti on kaiken keskiössä. Tervetuloa kuulolle! Jakson linkit: Sysmon natiivina Windows 11 + Windows Server 2025 laitteilla: https://techcommunity.microsoft.com/blog/windows-itpro-blog/native-sysmon-functionality-coming-to-windows/4468112 Microsoft Defender aineiston keruu / konfigurointi: https://falconforce.nl/microsoft-defender-for-endpoint-internal-0x06-custom-collection/ Blob storagen käyttö pahuudessa: https://www.microsoft.com/en-us/security/blog/2025/10/20/inside-the-attack-chain-threat-activity-targeting-azure-blob-storage/  Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/

 🐗  Tervehdys Uhkametsältä! Tässä jaksossa Jounia ja Juusoa puhuttaa mm. miten päästä puolustavan kyberin oppimispolulle, Jounin hieno TI dashBOAR, Microsoft Digital Defense Report 2025 sekä tulevaisudeen näkymät data lake ratkaisuille SecOps maailmassa. Ja älkää huoliko, kyllä meidän kuulumisetkin käydään läpi! Tervetuloa kuulolle 🐗 Jakson linkit:Maanpuolustuskoulutusyhdistyksen kyberkurssit: https://mpk.fi/koulutukset/kyber-ja-informaatioturvallisuus/Jounin TI DashBOAR: https://tidashboar.threathunt.blog/Microsoft Digital Defense Report 2025: https://www.microsoft.com/en-us/corporate-responsibility/cybersecurity/microsoft-digital-defense-report-2025/Sentinel Data Lake: https://learn.microsoft.com/en-us/azure/sentinel/datalake/sentinel-lake-overview Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/

🤖 Tekoälyaiheita havaittavissa! Tässä jaksossa käsitellään AI vs AI ilmiötä ja tästä päästään Uhkikselle tuttuun tapaan sivuraiteille (eikä edes niin vähän). Keskustellaan mm. käyttötapauksista mitä AI voisi tehdä DFIR tutkijoille tulevaisuudessa. Tässä jaksossa myös kuultavissa historian huonoin loppukevennys 😹Lähteet:Ai vs Ai: https://www.microsoft.com/en-us/security/blog/2025/09/24/ai-vs-ai-detecting-an-ai-obfuscated-phishing-campaign/ Ransomware lentokenttä: https://www.securityweek.com/european-airport-cyberattack-linked-to-obscure-ransomware-suspect-arrested/ Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/

Räjähdys menneisyydestä! Uhkametsä käsittelee tällä kertaa kuulumisten lisäksi Akira kiristyshaittaohjelmaan johtaneita skenaarioita ja miten näiltä voidaan puolustautua. Nimestä voikin päätellä, että jaksossa törmätään vanhoihin tuttuihin (bzz bzz!!!). Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/

Keskustelemme tällä kertaa tekoälyn hyödyntämisestä organisaation kyberturvaamiseen. Jakso koostuu lähinnä omista ajatuksistamme miten tekoälyä voisi hyödyntää, mutta valmiita ratkaisuja emme tarjoa.  Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/

Tällä kertaa Uhkametsä keskittyy kyberiin ja jaksossa otetaan katsaus kahteen APT ryhmään ja myöskin BYOVD -tekniikkaan. Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/

Jaksossa jutustellaan Sectop rotasta ja IDAT laturista tutkinnan näkökulmasta ja myöskin viime aikaisista hyökkäyksistä jotka ovat kohdistuneet muun muassa M&S:n. Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/

Jakson kuulumiset menee Jounin tekoälykiemuroiden parissa ja kyberosio jakautuu kahtia clickfix nimisen haitakkeen ja oraakkelin potentiaalisen tietomurron parissa. Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/

Uhkametsän jaksot jatkuu nyt myös Podcastina! Pääpointti on Youtuben puolella mutta päätimme myös jatkaa jaksojen julkaisua podcast-muodossa kun tästä tuli myös toiveita.Tällä kertaa paljon kuulumisia sekä keskustelua DFIR-tutkintojen aikana havaitusta haasteista joita me olemme kohdanneet. Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/

Ilman sen kummempia kaunisteluja, Uhkametsän taru ainakin podcastin formaatissa on ohitse. Kuuntele lyhyt jakso, jossa kerromme lisää tästä päätöksestä. Kiitos kaikille kuulijoille Uhkametsän noin kahden vuoden taipaleen ajalta.Tulemme jatkossakin tekemään sisältöä, mutta enemmän Youtuben puolelle. Tämän päätöksen syitä avaamme myös jaksossa. Linkki Youtubeen: https://www.youtube.com/@ThreatForest Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/

Liity seuraamme, kun selvitämme tietovarkaiden kehitystä ja tarkastelemme kahta tuoretta tietovarasta Fickle Stealeria ja Medusa Stealeria. Rust-kielellä kirjoitettu Fickle Stealer käyttää hämäystä ja salaista viestintää kohdistuakseen laajaan valikoimaan arkaluonteisia tietoja, henkilökohtaisista identiteeteistä kryptovaluuttalompakoihin. Medusa Stealer hyökkää ensisijaisesti Windows-järjestelmiin, varastaen verkkosalasanoja ja kryptolompakoita edistyneillä tekniikoilla.Teemme katsauksen tutkintaprosesseihin, joita käytetään näiden haitallisten työkalujen analysointiin, sekä metsästykseen. Käsittelemme myös kuulijapalautetta, sekä vihjaamme tulevista tapahtumista. Pysy kyberuhkien edellä kanssamme! Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/

PALAUTEKYSELY JAKSOSTA JA YLEISESTI UHKAMETSÄSTÄ:  https://qup4621yg.supersurvey.comMitä tekisit, jos yrityksesi joutuisi yhtäkkiä yhden maailman pahamaineisimman uhkaryhmän saartamaksi? Tässä jaksossa kerrotaan hermoja raastavasta koettelemuksesta, jonka rakastettu suomalainen makkarayritys Matin Nakki Oy koki joutuessaan kehittyneen kyberhyökkäyksen kohteeksi Moonstone Sleetin toimesta vuonna 2024. Liity seuraamme, kun seuraamme IT-päällikkö Jaria ja hänen tiimiään heidän tehdessään raskaita päätöksiä ja valvoessaan öitä yrittäessään saada järjestelmänsä takaisin hallintaansa vakavan kiristyshaittaohjelmauhan keskellä. Todista dramaattisia hetkiä, kun he tasapainottelevat lunnaiden maksamisen ja Kyberturvallisuuskeskuksen ohjeiden noudattamisen välillä.Tutustu kyberhyökkäysten nopeaan ja huomaamattomaan luonteeseen, joka voi tuhota jopa parhaiten valmistautuneet organisaatiot. Syvennymme asiantuntevien incident response -tiimien kriittiseen rooliin.. Jarin ja hänen tiiminsä kokema emotionaalinen ja operatiivinen rasitus korostaa vahvojen kyberturvallisuustoimenpiteiden välttämättömyyttä.Lopuksi pohdimme yksityisten yritysten ja kyberturvallisuusviranomaisten monimutkaisia vuorovaikutuksia kriisitilanteessa. Matin Nakki Oy:n tarina korostaa ajantasaisen tietosuojan ja raportoinnin tärkeyttä vakavien GDPR-sanktioiden välttämiseksi. Lopetamme jaksomme jakamalla jännittäviä suunnitelmiamme laajentaa Uhkametsää audiovisuaaliseen sisältöön ja Juuson viimeisimpiä , samalla kutsuen kuulijoiden palautetta auttamaan tulevien keskustelujemme parantamisessa. Liity seuraamme jaksoon, joka on täynnä arvokkaita oivalluksia, dramaattisia kertomuksia ja kurkistuksia tulevaisuuden suunnitelmiimme. Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/

Tänään metsällä puhutaan muutamista eri aiheista, joista eniten aikaa vietetään hypoteesin luomisen tuskan parissa. Käymme siis läpi ajatuksia miten luoda uhkametsästys hypoteeseja, ehkä eniten suunnattuna aloitteleville metsästäjille. Kokeneet metsästäjät eivät tästä välttämättä kauheasti koosta, mutta ehkäpä jotain hyviä vinkkejä voi tarttua teillekin. Samalla mietitään voiko GenAi auttaa hypoteesin luomisen kanssa. Tässä listaa päivän aiheista:Uhkametsästys ja hypoteesien luomisen vaikeusPohjois-Korealaisen uhkatoimijan epätavalliset toimintatavatArc selaimen laukaisu Windows alustalla aiheutti hämminkiä.Operation EndgameKasperskyn IR raportin perkaustaLuottosuhteiden hyväksikäyttö (supply chainit)Lähteet:https://www.bleepingcomputer.com/news/security/arc-browsers-windows-launch-targeted-by-google-ads-malvertising/https://www.theregister.com/2024/05/23/ransomware_abuses_microsoft_bitlocker/https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2024/05/13125640/Kaspersky-IR_Analyst_report_2023_EN.pdfhttps://securelist.com/trusted-relationship-attack/112731/https://www.microsoft.com/en-us/security/blog/2024/05/28/moonstone-sleet-emerges-as-new-north-korean-threat-actor-with-new-bag-of-tricks/https://haveibeenpwned.com/DomainSearchhttps://www.europol.europa.eu/media-press/newsroom/news/largest-ever-operation-against-botnets-hits-dropper-malware-ecosystemhttps://securelist.com/trusted-relationship-attack/112731/ Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/

Tässä jaksossa Uhkametsä uudistuu hieman ja tuomme uusia eläinaiheisia ääniä jaksoon. Tarkkakuuloisimmat saattavatkin tunnistaa muutaman tutun eläimen jakson aikana!Jaksossa käsitellään mm. MITREen kohdistunutta hyökkäystä, identiteetteihin kohdistuvia uhkia ja näiden metsästystä ja tuttuun tapaan myös huonoja uutisia laidasta laitaan.Lähdeluettelo:Juuson esitys Elisan kyberturvailtapäivässä: https://cloud.viestinta.elisa.fi/kyberturva-tallenne MITREen kohdistunut hyökkäys: https://medium.com/mitre-engenuity/advanced-cyber-threats-impact-even-the-most-prepared-56444e980dc8  MITRE hyökkäyksen tekninen läpikäynti:  https://medium.com/mitre-engenuity/technical-deep-dive-understanding-the-anatomy-of-a-cyber-intrusion-080bddc679f3 MITRE Attack Flow työkalu: https://center-for-threat-informed-defense.github.io/attack-flow/builder/MITRE Attack Flow NERVE verkosta: https://center-for-threat-informed-defense.github.io/attack-flow/ui/?src=..%2fcorpus%2fMITRE%20NERVE.afbForensiset artifaktit identiteettitutkintaan: https://techcommunity.microsoft.com/t5/microsoft-security-experts-blog/forensic-artifacts-in-office-365-and-where-to-find-them/ba-p/3634865Unified Audit Log kirjoitus: https://techcommunity.microsoft.com/t5/microsoft-security-experts-blog/good-ual-hunting/ba-p/3718421 Hijack loader artikkeli: https://thehackernews.com/2024/05/hijack-loader-malware-employs-process.htmlHijackin tekninen läpikatsaus: https://www.crowdstrike.com/blog/hijackloader-expands-techniques/  SocGholish artikkeli: https://www.esentire.com/blog/socgholish-sets-sights-on-victim-peers BlackBasta artikkeli:  https://www.darkreading.com/cyberattacks-data-breaches/500-victims-later-black-basta-reinvents-novel-vishing-strategy CISA vaatii toimenpiteitä BlackBastan hyökättyä Acensioniin: https://www.theregister.com/2024/05/13/cisa_ascension_ransomware/ Lisää BlackBastaa: https://thehackernews.com/2024/05/black-basta-ransomware-strikes-500.html CISA julkaisema advisory:  https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-131a BlackBasta ja Ascension hyökkäys:  https://www.beckershospitalreview.com/cybersecurity/how-the-ransomware-group-linked-to-ascension-hack-operates.html BlackBastan hyökkäys kriittiseen infrastruktuuriin:  https://arstechnica.com/security/2024/05/black-basta-ransomware-group-is-imperiling-critical-infrastructure-groups-warn/  Qakbot 0-päivä: https://securelist.com/cve-2024-30051/112618/GitHub haittaohjelmakäytössä: https://go.recordedfuture.com/hubfs/reports/cta-2024-0514.pdf  Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/

Tällä kertaa metsällä puhutaan ensin Uhkametsän ominta omaa, eli käytänteitä! Fear not, ainakin puhumme sentään ensivasteen, eli Incident Responsen, käytännöistä ja enemmänkin siitä, että millaisia rooleja Majuri Poikkeamassa voi olla. Toki myös muutenkin viitataan käytäteisiin näiden roolien pohjalta. Tästä siirrytään kätevästi sitten huonoihin uutisiin jossa mm hienoa nallea, Lazaruksen rottaa ja myöskin hieman asiaa identiteettiä koskevasta uhkametsästyksestä!Lähteet:https://www.microsoft.com/en-us/security/blog/2023/12/11/new-microsoft-incident-response-team-guide-shares-best-practices-for-security-teams-and-leaders/https://www.youtube.com/watch?v=0M55onu7mVIhttps://thehackernews.com/2024/04/coralraider-malware-campaign-exploits.htmlhttps://securityaffairs.com/162333/cyber-crime/swedens-liquor-supply-ransomware-attack.htmlhttps://www.scmagazine.com/brief/third-party-ransomware-attack-threatens-swedens-liquor-supplyhttps://thehackernews.com/2024/04/north-koreas-lazarus-group-deploys-new.htmlhttps://blog.qualys.com/vulnerabilities-threat-research/2024/04/24/arcanedoor-unlocked-tackling-state-sponsored-cyber-espionage-in-network-perimetershttps://security.googleblog.com/2024/04/detecting-browser-data-theft-using.htmlhttps://techcommunity.microsoft.com/t5/microsoft-security-experts-blog/hunting-in-azure-subscriptions/ba-p/4125875https://twitter.com/Cryptolaemus1/status/1785423804577034362https://www.microsoft.com/en-us/security/blog/2024/04/22/analyzing-forest-blizzards-custom-post-compromise-tool-for-exploiting-cve-2022-38028-to-obtain-credentials/ Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/

Tässä jaksossa käydään vähän rästejä läpi ja käsitellään 12 huonoa uutista! Tämä jakso onkin varmasti kaikille Uhkametsän huonojen uutisten faneille mieleinen! Käydään läpi Sandwormia (kahteen kertaan), uusia lastaajia, haavoittuvuuksia sekä Windowsin tuntemattomampia ominaisuuksia. Tervetuloa kuulolle!Jakson lähdemateriaali enemmän tai vähemmän järjestyksessä:Mandiantin Sandworm raportti: https://services.google.com/fh/files/misc/apt44-unearthing-sandworm.pdfPalo Alto SSL VPN haavoittuvuus: https://unit42.paloaltonetworks.com/cve-2024-3400/#post-133365-_vgezw6a4uezPalo Alto SSL VPN osa 2:  https://www.theregister.com/2024/04/17/researchers_exploit_code_for/ TA544 uutisia: https://www.proofpoint.com/us/threat-insight/post/threat-actor-profile-ta544-targets-geographies-italy-japan-range-malwareWikiLoader IOC: https://github.com/pr0xylife/WikiLoader/blob/main/WikiLoader_17.04.2024.txtTekoälyn kirjoittamaa PowerShelliä: https://www.bleepingcomputer.com/news/security/malicious-powershell-script-pushing-malware-looks-ai-written/Vadelmatipun uudet kujeet: https://thehackernews.com/2024/04/raspberry-robin-returns-new-malware.html?m=1Taikurikärry: https://www.darkreading.com/cloud-security/magecart-attackers-pioneer-persistent-ecommerce-backdoorTaikurikärry Darknet Diaries kuuntelusuositus: https://darknetdiaries.com/episode/52/https://sansec.io/research/magento-xml-backdoorLatrodectus lastaaja: https://www.bleepingcomputer.com/news/security/new-latrodectus-malware-replaces-icedid-in-network-breaches/#google_vignetteLatrodectus #2: https://www.hackread.com/latrodectus-downloader-malware-icedid-qbot/SVG tiedostot: https://cofense.com/blog/svg-files-abused-in-emerging-campaigns/Kapeka haittaohjelma: https://therecord.media/sandworm-backdoor-malware-eastern-europe-kapeka Windowsin kuidut ja säikeet: https://www.darkreading.com/application-security/sneaky-shellcode-windows-fibers-edr-proof-code-executionNordVPN typosquatting ja malvertising: https://www.scmagazine.com/news/bing-ad-posing-as-nordvpn-aims-to-spread-sectoprat-malware Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/

Tällä kertaa Uhkametsällä puhutaan Kiinan valtion suorittamista kyberoperaatioista muita maita kohtaan. Jaksossa puhutaan siis APT31:n touhuista joka on liipannut läheisesti myös Suomea. Jakson perustana toimii Yhdysvaltain syyte seitsemää henkilöä vastaan jotka ovat syytteen mukaan olleet osallisina Kiinan suorittamissa operaatioissa.Eli kyseessä on Juuson terminologian mukaan jälleenkin Teemajakso! Lähteet:https://www.justice.gov/opa/media/1345141/dl?inlinehttps://home.treasury.gov/news/press-releases/jy2205https://www.justice.gov/opa/pr/seven-hackers-associated-chinese-government-charged-computer-intrusions-targeting-perceivedhttps://yle.fi/a/74-20081005https://www.is.fi/digitoday/tietoturva/art-2000010319962.htmlhttps://www.is.fi/digitoday/tietoturva/art-2000007867387.html Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/

Tässä jaksossa käydään vähän kevyemmin viime aikaisia uhkia läpi! Tällä kertaa juontajakaksikkoa puhututtaa TinyTurla sekä Strela infostealer. Käydään näistä läpi tuttuun tapaan hunttaus ideoita sekä päivitellään huonot uutiset. Eräässä suositussa pelissä ollut kenties jotain outoa kesken turnauksen?Tervetuloa kuulolle!Jakson lähdeluettelo:https://www.bleepingcomputer.com/news/security/new-strelastealer-malware-steals-your-outlook-thunderbird-accounts/#google_vignettehttps://threathunt.blog/dll-image-loads-from-suspicious-locations-by-regsvr32-exe-rundll32-exe/https://www.bleepingcomputer.com/news/security/apex-legends-players-worried-about-rce-flaw-after-algs-hacks/https://blog.talosintelligence.com/tinyturla-full-kill-chain/ Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/

Tämän päivän jaksossa puhutaan siitä kun menee metsään, eli ransomware operaattoreista, heidän yleisimmin käytetyistä taktiikoista, tekniikoista ja toimintatavoista. Lisäksi puhutaan siitä, että miten näitä erilaisia tekniikoita voidaan potentiaalisesti metsästää, havaita tai estää. Luvassa uhkiksen toistaiseksi pisin jakso ja paljon keskustelua ransomwaresta.Lähteet:https://www.wired.com/story/alphv-change-healthcare-ransomware-payment/ https://adsecurity.org/?p=3458 https://hstechdocs.helpsystems.com/manuals/cobaltstrike/current/userguide/content/topics/welcome_main.htm https://any.run/malware-trends/exela Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/

Laiva on lastattu tällä kertaa Pokemoneilla ja toimitusjohtajamyrkytyksillä. Tässä jaksossa kertaa Uhkis käsittelee kahta laturia / lastaajaa ja näiden uusia kujeita. Käydään läpi myös konkreettiset ideat miten voidaan huntata sekä havaita ympäristöstä ja annetaan myös suojautumisvinkkejä pohdittavaksi.Tervetuloa kuuntelemaan!Lähteet:Elasticin Pikabot artikkeli: https://www.elastic.co/security-labs/pikabot-i-choose-youZScalerin Pikabot artikkeli: https://www.zscaler.com/blogs/security-research/d-evolution-pikabotCryptlaemuksen twiitti Pikabot kampanjasta: https://twitter.com/Cryptolaemus1/status/1755655639370514595SocGholish artikkeli: https://www.reliaquest.com/blog/new-python-socgholish-infection-chain/FakeUpdates IOC: https://threatfox.abuse.ch/browse/malware/js.fakeupdates/Connectwise Screenconnect haavoittuvuus: https://www.darkreading.com/remote-workforce/connectwise-screenconnect-mass-exploitation-delivers-ransomwareConnectwise Screenconnect exploit / John Hammond: https://www.youtube.com/watch?v=AWGoGO5jnvY&t=5sLockbit uutisartikkeli: https://yle.fi/a/74-20075430 Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/

Tämän kertaisessa jaksossa puhellaan ransuttajien rahulioperaatioista vuodelta 2023, sekä arvaillaan tekoälyn tulevaisuutta puolustavalla puolella. Lisäksi jutellaan Kiinalaisista uhkatoimijoista huonojen uutisten muodossa.Lähteet:https://www.chainalysis.com/blog/ransomware-2024/ https://www.paloaltonetworks.com/blog/2024/02/the-power-of-ai-in-cybersecurity/ https://www.bleepingcomputer.com/news/security/chinese-hackers-infect-dutch-military-network-with-malware/ https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/

Tässä jaksossa keskustellaan Juuson DFIR taipaleesta n. vuoden kohdalla sekä pohditaan public facing vai julkinaamaisten laitteiden turvallisuudesta. Tuttuun tapaa juttua riittää ja tästä tulikin yksi pisimpiä jaksoja Uhkiksen historiassa!Tehdään myös katsaus huonoissa uutisissa Applen tietoturvakontrolleihin ja käydään läpi Akiran viimeisimmät edesottamukset. Tervetuloa kuuntelemaan!Jakson lähdemateriaali:https://www.sentinelone.com/blog/the-many-faces-of-undetected-macos-infostealers-keysteal-atomic-cherrypie-continue-to-adapt/https://support.apple.com/guide/security/protecting-against-malware-sec469d47bd8/webhttps://securityaffairs.com/156951/security/ivanti-critical-epm-flaw.htmlhttps://www.theregister.com/2024/01/22/ivanti_and_juniper_networks_criics_unhappy/https://www.bleepingcomputer.com/news/security/fortra-warns-of-new-critical-goanywhere-mft-auth-bypass-patch-now/ Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/

Jaksossa selviää onko HopeaRotta uusi RAP-artisti vaiko jotain muuta. Lisäksi Uhkametsä käy läpi viime vuoden jaksoja ja juontajat esittelevät itsensä ja uratarinansa. Päädyimme kertomaan taustatarinaa itsestämme sikäli jos meillä on uusia kuulijoita jotka eivät ole alkupään jaksoja kuunelleet, jossa mahdollisesti käytiin läpi esittelyjä.Jaksossa myös puidaan, että johtavatko Juuson nykyiset harrastukset rikolliseen uraan.Ainiin, muistakaa Uhkiksen uusi IG:https://www.instagram.com/uhkametsa/Lähteet:https://attack.mitre.org/groups/G0034/https://www.reuters.com/world/europe/russian-hackers-were-inside-ukraine-telecoms-giant-months-cyber-spy-chief-2024-01-04/https://www.reuters.com/technology/cybersecurity/ukraine-says-russian-intelligence-linked-hackers-claim-cyberattack-mobile-2023-12-13/https://en.wikipedia.org/wiki/Kyivstarhttps://twitter.com/TwiyKyivstar/status/1734885428891988191https://www.bleepingcomputer.com/news/security/toronto-zoo-ransomware-attack-had-no-impact-on-animal-wellbeing/https://www.hackread.com/youtube-channels-hacked-lumma-stealer-software/https://thehackernews.com/2024/01/uac-0050-group-using-new-phishing.htmlhttps://www.cyfirma.com/outofband/a-gamer-turned-malware-developer-diving-into-silverrat-and-its-syrian-roots/ Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/

Juhlitaan Uhkametsällä uutta vuotta, keskustellaan loadereista ja Akira kiristyshaittaohjelmajengistä. Maistellaan myös koko jakso uuden vuoden herkkuja. Tervetuloa kuuntelemaan!https://blog.sekoia.io/darkgate-internals/https://www.trellix.com/about/newsroom/stories/research/the-continued-evolution-of-the-darkgate-malware-as-a-service/https://d01a.github.io/pikabot/https://www.malwarebytes.com/blog/threat-intelligence/2023/12/pikabot-distributed-via-malicious-adshttps://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/kyberturvallisuuskeskuksen-viikkokatsaus-522023https://news.sophos.com/en-us/2023/12/21/akira-again-the-ransomware-that-keeps-on-taking/https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-akirahttps://news.sophos.com/en-us/2023/05/09/akira-ransomware-is-bringin-88-back/https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/kyberturvallisuuskeskuksen-viikkokatsaus-522023https://www.virustotal.com/gui/file/b7458c63e9a6f60aa0cded69aa55a1d5a2150e271b7696b6aaecb47ffe08b159/detection <- Qakbot Tchk06 sample Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/

Tällä kertaa mennään aihealueeseen joka on meidän sydäntä lähellä. Käsittelemme uhkametsästystä koko jakson verran ja ammennamme hieman sitä mitä itse olemme tehneet. Luvassa saattaa olla myös hieman ränttäämistä. Sori siitä.Lähteet:https://www.britannica.com/science/scientific-hypothesishttps://www.splunk.com/en_us/blog/security/peak-threat-hunting-framework.html Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/

Uhkametsällä suomennetaan taas termejä oikein urakalla, käydään kuulumisia tuttuun tapaan läpi pari tuntia sekä puhutaan vähän kyberistä. Aiheina tällä kertaa viranomaisyhteistyö, kriittiseen infrastruktuuriin kohdistuvat hyökkäykset ja uravinkkejä! Tervetuloa kuulolle.Lähdeluettelo:https://www.europol.europa.eu/media-press/newsroom/news/international-collaboration-leads-to-dismantlement-of-ransomware-group-in-ukraine-amidst-ongoing-warhttps://cyberpolice.gov.ua/news/ponad--milyardy-gryven-zbytkiv-kiberpolicziya-ta-slidchi-naczpolu-vykryly-xakeriv-yaki-atakuvaly-providni-svitovi-kompaniyi-1780/https://twitter.com/BushidoToken/status/1729467756699857088https://www.microsoft.com/en-us/security/blog/2022/05/09/ransomware-as-a-service-understanding-the-cybercrime-gig-economy-and-how-to-protect-yourself/#DEV-0237https://media.kasperskycontenthub.com/wp-content/uploads/sites/100/2020/05/12075747/KSN-article_Ransomware-in-2018-2020-1.pdfhttps://news.microsoft.com/source/features/digital-transformation/hackers-hit-norsk-hydro-ransomware-company-responded-transparency/https://success.trendmicro.com/dcx/s/solution/1122802-megacortex-ransomware-information?language=en_US&sfdcIFrameOrigin=nullhttps://www.politico.eu/article/energy-power-europe-grid-is-under-a-cyberattack-deluge-industry-warns/https://www.mandiant.com/resources/blog/sandworm-disrupts-power-ukraine-operational-technologyhttps://www.bleepingcomputer.com/news/security/slovenias-largest-power-provider-hse-hit-by-ransomware-attack/https://securityaffairs.com/154785/cyber-crime/rhysida-ransomware-china-energy.html Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/

Tämän päivän jaksossa jutellaan taannoisesta hyökkäyksestä Tanskan Energiasektoria vastaan. Lisäksi muutama huono uutinen ja toivottavasti viimeistä kertaa vähään aikaan Octo Spiderin kuulumisia.Lähteet:https://sektorcert.dk/wp-content/uploads/2023/11/SektorCERT-The-attack-against-Danish-critical-infrastructure-TLP-CLEAR.pdf https://www.fortinet.com/content/dam/fortinet/assets/threat-reports/rhysida-ransomware-intrusion.pdf https://www.securityweek.com/ransomware-group-files-sec-complaint-over-victims-failure-to-disclose-data-breach/ Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/

Tässä jaksossa Uhkametsällä tarkastellaan uudehkoa uhkatoimijaa Octo Tempest / Scattered Spider / UNC3944. Juontajat käyvät läpi uhkatoimijan kehittymistä sekä heidän käyttämiään taktiikoita, tekniikoita, sekä toimenpiteitä. Jakson lähdeluettelo:https://www.microsoft.com/en-us/security/blog/2023/10/25/octo-tempest-crosses-boundaries-to-facilitate-extortion-encryption-and-destruction/ https://www.crowdstrike.com/adversaries/scattered-spider/ https://www.is.fi/digitoday/tietoturva/art-2000009070262.html https://darknetdiaries.com/transcript/112/https://www.cisco.com/c/en/us/support/docs/csa/cisco-sa-iosxe-webui-rce-uk8BXcUD.html https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/ https://bazaar.abuse.ch/browse/tag/pikabot/ https://threatfox.abuse.ch/browse/malware/win.pikabot/ https://www.bleepingcomputer.com/news/security/new-cvss-40-vulnerability-severity-rating-standard-released/ Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/

Tällä kertaa Uhkametsällä puhutaan teknisistä incident response tutkinnan vaiheista. Aihe on pintaraapaisu ja aika ei yhdessä jaksossa riitä käsittelemään kuin melko pintapuolisesti aihealuetta. Tämä on hieman teknisempi jatke jaksolle 26: Poikkeamanhallinta ja tutkinta.Lähteet:https://zeltser.com/security-incident-questionnaire-cheat-sheet/https://www.ietf.org/rfc/rfc3227.txthttps://github.com/ufrisk/MemProcFShttps://github.com/volatilityfoundation/volatility3https://github.com/volatilityfoundation/volatilityhttps://volatility3.readthedocs.io/en/stable/volatility3.plugins.htmlhttps://github.com/VirusTotal/yarahttps://github.com/DidierStevens/DidierStevensSuite/blob/master/1768.pyhttps://www.youtube.com/watch?v=8b6etqiIvb4 <- Christopher Lopez, Will they read my reports? Creating value driven reportshttps://www.youtube.com/watch?v=gqsE2coucjg <- Selena Larson, Threat Intel for Everyone: Writing Like a Jounarlist to produce clear, concise reportshttps://www.youtube.com/watch?v=vwKlNZ6mxak <- Lenny Zeltser, Hack the reader: Writing Effective Threat Reports with Lenny Zeltserhttps://www.sans.org/posters/windows-forensic-analysis/https://ericzimmerman.github.io/#!index.mdhttps://timesketch.org/https://github.com/log2timeline/plasohttps://github.com/WithSecureLabs/chainsawhttps://github.com/Yamato-Security/hayabusahttps://github.com/LDO-CERT/orochihttps://www.fox-it.com/nl-en/dissect/ Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/

Tässä jaksossa keskustellaan business email compromise (BEC) ilmiöstä, ihmetellään nimeämiskäytäntöjä uhkatoimijoiden toimesta sekä valitaan ikäkriisiin sopivia hoitokeinoja. Tervetuloa kuuntelemaan!Lähdeluettelo:https://www.microsoft.com/en-us/security/blog/2023/06/08/detecting-and-mitigating-a-multi-stage-aitm-phishing-and-bec-campaign/ https://tietosuoja.fi/office-365https://learn.microsoft.com/en-us/microsoft-365/security/office-365-security/responding-to-a-compromised-email-account?view=o365-worldwide https://blog.talosintelligence.com/qakbot-affiliated-actors-distribute-ransom/ https://securityaffairs.com/151862/breaking-news/exfiltration-infrastructure.html https://serverfault.com/questions/1137030/ftp-error-530-user-cannot-log-in https://www.wiz.io/blog/cve-2023-4863-and-cve-2023-5217-exploited-in-the-wild https://www.bleepingcomputer.com/news/security/evilproxy-uses-indeedcom-open-redirect-for-microsoft-365-phishing/ Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/

Jaksossa puhutaan tällä kertaa kahdesta kasinoryöstöstä, Caesar Entertainmentin ja MGM:n tapauksista.Lähdeluettelo:https://www.securityweek.com/caesars-confirms-ransomware-hack-stolen-loyalty-program-database/ https://cybernews.com/editorial/mgm-caesars-explained-scattered-spider/ https://www.quorumcyber.com/threat-actors/scattered-spider-threat-actor-profile/ https://www.securityweek.com/two-vegas-casinos-fell-victim-to-cyberattacks-shattering-the-image-of-impenetrable-casino-security/ https://www.mandiant.com/resources/blog/unc3944-sms-phishing-sim-swapping-ransomware https://www.theseus.fi/handle/10024/806660 https://krebsonsecurity.com/2022/01/who-wrote-the-alphv-blackcat-ransomware-strain/ https://www.bleepingcomputer.com/news/security/blackcat-alphv-ransomware-linked-to-blackmatter-darkside-gangs/ https://www.microsoft.com/en-us/security/blog/2022/06/13/the-many-lives-of-blackcat-ransomware/ https://www.reddit.com/r/cybersecurity/comments/16iubsc/alphv_blackcat_just_released_an_annoucement_about/?share_id=93xIENEcArpzHjZZhmQSs&utm_content=1&utm_medium=ios_app&utm_name=ioscss&utm_source=share&utm_term=1 https://github.com/mategol/PySilon-malware https://finance.yahoo.com/news/spycloud-report-infostealer-malware-precursor-100500075.html?guccounter=1 https://www.bleepingcomputer.com/news/security/bumblebee-malware-returns-in-new-attacks-abusing-webdav-folders/ Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/

Tässä jaksossa käsitellään operaatio Duck Huntia, keskustellaan avoimen lähdekoodin infostealerista ja taas arvostellaan eri elintarvikkeita. Tervetuloa metsälle!Lähdeluettelo:https://www.fbi.gov/news/stories/fbi-partners-dismantle-qakbot-infrastructure-in-multinational-cyber-takedownhttps://krebsonsecurity.com/2023/08/u-s-hacks-qakbot-quietly-removes-botnet-infections/https://www.reliaquest.com/blog/the-3-malware-loaders-behind-80-of-incidents/https://success.trendmicro.com/dcx/s/solution/000283381?language=en_UShttps://www.darkreading.com/attacks-breaches/russia-fancy-bear-apt-ukrainian-energy-facilityhttps://www.hackread.com/agent-tesla-variant-excel-exploit-windows-pc/https://www.darkreading.com/threat-intelligence/cybercriminals-team-up-upgrade-sapphirestealer-malwarehttps://thehackernews.com/2023/08/darkgate-malware-activity-spikes-as.htmlhttps://cyble.com/blog/bumblebee-returns-with-new-infection-technique/https://twitter.com/RansomwareNewshttps://lots-project.com/https://lolbas-project.github.io/# Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/

Ransukoira taas irti!Jaksossa käsitellään vuoden 2023 ransutuksia ja alkusyksyn ransu-uutisia. Lähteet:https://www.securityweek.com/rapid7-says-roi-for-ransomware-remains-high-zero-day-usage-expands/ https://socradar.io/threat-actor-profile-bianlian-the-shape-shifting-ransomware-group/ https://www.malwarebytes.com/blog/threat-intelligence/2023/08/ransomware-review-august-2023 https://www.securityweek.com/evidence-suggests-ransomware-group-knew-about-moveit-zero-day-since-2021/ https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-august-18th-2023-lockbit-on-thin-ice/ https://www.bleepingcomputer.com/news/security/monti-ransomware-targets-vmware-esxi-servers-with-new-linux-locker/ https://www.bleepingcomputer.com/news/security/linux-version-of-abyss-locker-ransomware-targets-vmware-esxi-servers/ https://www.bleepingcomputer.com/news/security/cuba-ransomware-uses-veeam-exploit-against-critical-us-organizations/ https://labs.withsecure.com/publications/fin7-target-veeam-servers https://www.coresecurity.com/core-labs/open-source-tools/impacket https://thehackernews.com/2023/08/new-blackcat-ransomware-variant-adopts.html https://www.theregister.com/2023/08/21/winrar_vuln_could_allow_code/ https://www.darkreading.com/edge-threat-monitor/citrix-adc-gateways-still-backdoored-even-after-being-patched https://techcommunity.microsoft.com/t5/excel-blog/announcing-python-in-excel-combining-the-power-of-python-and-the/ba-p/3893439 https://securityaffairs.com/149770/malware/akira-ransomware-cisco-vpn.html https://securelist.com/emotet-darkgate-lokibot-crimeware-report/110286/ https://github.com/mandiant/citrix-ioc-scanner-cve-2023-3519 Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/

Tässä jaksossa käsitellään uhkatoimijoiden aktiivisesti käyttämää EvilProxya ja perehdytään GRU kyberoperaatioiden disruptiiviseen toimintaan. Uhkametsä täyttää myös 1 vuoden ja haluamme kiittää kaikkia kuuntelijoita jotka ovat olleet matkalla mukana!Lähdeluettelo:https://www.mandiant.com/resources/blog/gru-disruptive-playbookhttps://supo.fi/en/apt-operationshttps://learn.microsoft.com/en-us/windows/security/operating-system-security/network-security/windows-firewall/create-a-group-policy-objecthttps://www.standard.co.uk/tech/who-are-anonymous-sudan-hacker-group-behind-microsoft-outage-b1088879.htmlhttps://www.scmagazine.com/news/gootloader-seo-watering-hole-malware-targets-law-firmshttps://securityaffairs.com/149405/hacking/statc-stealer-info-stealer.htmlhttps://www.bleepingcomputer.com/news/security/new-evilproxy-service-lets-all-hackers-use-advanced-phishing-tactics/https://securityaffairs.com/135318/cyber-crime/evilproxy-phishing-as-a-service.html?amp=1https://securityaffairs.com/149348/hacking/cloud-account-takeover-scheme-evilproxy.html?amp=1https://www.proofpoint.com/us/blog/email-and-cloud-threats/cloud-account-takeover-campaign-leveraging-evilproxy-targets-top-levelhttps://securelist.com/focus-on-droxidat-systembc/110302/https://lolbas-project.github.io/ Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/

Uhkametsän historian toinen haastattelujakso! Tällä kertaa haastateltavina ovat kyberalalla jo pitkään toimineet Antti Kurittu ja Niklas Särökaari. Antti ja Niklas ovat tuttuja mm. edellisestä Disobeysta jossa molemmat pitivät loistavat puheenvuorot. Uhkametsä haluaakin antaa erityiskiitoksen molemmille haastateltaville osallistumisesta! Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/

Tässä jaksossa keskustellaan siitä, mitä kaikkea kuuluu tyypilliseen incident response tutkintaan. Juontajat lisäävät myös omia kokemuksiaan tuomaan käytännön läheisiä esimerkkejä tutkinnan elinkaaren eri vaiheissa. Tervetuloa metsälle!Jaksolle seuraava osa julkaistaan myöhemmin syksyllä 2023.Lähteet:https://www.sans.org/white-papers/1516/https://twitter.com/ido_cohen2/status/1678431236912455682https://www.trendmicro.com/en_us/research/23/c/emotet-returns-now-adopts-binary-padding-for-evasion.html Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/

Histamiinia mukaillen, Klip Cl0p Klip Cl0P hevo-i-nen on pop! Uhkiksella jutustelua MoveIt haavoittuvuuden myötä vahvasti julkisuuteen nousseesta Cl0p kiristyshaittaohjelmasta. Lisäksi muutama ajankohtainen uhka.Lähteet:https://flashpoint.io/blog/clop-ransomware-moveit-vulnerability/ https://blogs.blackberry.com/en/2023/06/clop-ransomware-and-moveit-cyberattack https://therecord.media/shell-impacted-in-clop-ransomware-attack https://www.theregister.com/2023/06/15/clop_broke_into_the_doe/ https://thecyberexpress.com/cl0p-lists-more-moveit-hack-victims/ https://cybernews.com/security/clop-victims-pwc-ernst-young-sony-moveit-hack/ https://blogs.infoblox.com/security/clop-ransomware-demands-20-million-ransom/ https://www.trendmicro.com/vinfo/tr/security/news/cybercrime-and-digital-threats/ransomware-double-extortion-and-beyond-revil-clop-and-conti https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-clop https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-158a https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2022/06/23093553/Common-TTPs-of-the-modern-ransomware_low-res.pdf https://research.splunk.com/endpoint/07e08a12-870c-11eb-b5f9-acde48001122/ https://www.cybereason.com/blog/research/cybereason-vs.-clop-ransomware https://www.mcafee.com/blogs/other-blogs/mcafee-labs/clop-ransomware/ https://www.securityweek.com/siemens-energy-schneider-electric-targeted-by-ransomware-group-in-moveit-attack/ https://www.bleepingcomputer.com/news/security/new-pindos-javascript-dropper-deploys-bumblebee-icedid-malware/ https://www.microsoft.com/en-us/security/blog/2023/06/14/cadet-blizzard-emerges-as-a-novel-and-distinct-russian-threat-actor/ https://securityaffairs.com/147887/hacking/mockingjay-process-injection-technique.html Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/

Uhkametsällä keskustellaan hieman erilaisesta aiheesta, tietoturvavalvomosta. Juontajat pohtivat miten koko homma toimii ja miltä Jounin tekemä SOC näyttäisi. Tervetuloa kuuntelemaan!Lähteet:https://www.mitre.org/news-insights/publication/11-strategies-world-class-cybersecurity-operations-center Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/

Uhkametsällä palataan kiristyshaittaohjelmien pariin Black Bastan muodossa ja lisäksi jutustellaan Iranilaisten uusimmista kujeista.Lähteet:https://www.trendmicro.com/vinfo/gb/security/news/ransomware-spotlight/ransomware-spotlight-blackbasta https://www.cybereason.com/blog/cybereason-vs.-black-basta-ransomware https://www.coindesk.com/tech/2023/02/23/ransomware-group-conti-has-re-surfaced-under-a-new-name-trm-labs/ https://thehackernews.com/2023/03/the-prolificacy-of-lockbit-ransomware.html https://www.bleepingcomputer.com/news/security/us-govt-contractor-abb-confirms-ransomware-attack-data-theft/ https://www.kroll.com/en/insights/publications/cyber/black-basta-technical-analysis https://labs.withsecure.com/publications/prelude-to-ransomware-systembc https://securityaffairs.com/146690/apt/powerexchange-backdoor-iran.html https://www.bleepingcomputer.com/news/security/iranian-hackers-use-new-moneybird-ransomware-to-attack-israeli-orgs/ https://www.securityweek.com/iranian-hackers-target-middle-east-entities-with-new-windows-kernel-driver/ https://eclypsium.com/blog/supply-chain-risk-from-gigabyte-app-center-backdoor/ Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/

Uhkametsällä perehdytään pahamaineiseen Turla APT ryhmään perusteellisesti. Jaksossa käsitellään Turlan historiaa nykypäivään asti. Tarkastetaan myös lopuksi viimeaikaiset trendit haittaohjelmissa.Lähteet:https://www.industrialcybersecuritypulse.com/threats-vulnerabilities/throwback-attack-russian-apt-group-turla-has-hit-45-countries-since-2004/https://attack.mitre.org/groups/G0010/https://securelist.com/the-epic-turla-operation/65545/https://exatrack.com/public/Tricephalic_Hellkeeper.pdfhttps://www.welivesecurity.com/wp-content/uploads/2020/05/ESET_Turla_ComRAT.pdfhttps://www.cfr.org/cyber-operations/agentbtzhttps://www.latimes.com/archives/la-xpm-2008-nov-28-na-cyberattack28-story.htmlhttps://paper.bobylive.com/Security/APT_Report/A_Threat_Actor_Encyclopedia.pdfhttps://www.kaspersky.com/blog/moonlight-maze-the-lessons/6713/https://dmfrsecurity.com/2022/01/15/100-days-of-yara-day-27-loki2/http://phrack.org/issues/49/6.htmlhttp://phrack.org/issues/51/6.htmlhttps://securelist.com/penquins-moonlit-maze/77883/https://securelist.com/agent-btz-a-source-of-inspiration/58551/http://blog.threatexpert.com/2008/11/agentbtz-threat-that-hit-pentagon.htmlhttps://www.mtvuutiset.fi/artikkeli/mtv3-suomen-ulkoministerio-laajan-verkkovakoilun-kohteena-vuosia/2369718https://securelist.com/satellite-turla-apt-command-and-control-in-the-sky/72081/https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2014/08/20082353/GData_Uroburos_RedPaper_EN_v1.pdfhttps://www.govcert.ch/downloads/whitepapers/Report_Ruag-Espionage-Case.pdfhttps://www.telsy.com/following-the-turlas-skipper-over-the-ocean-of-cyber-operations/https://yle.fi/a/3-8591548https://www.welivesecurity.com/2017/03/30/carbon-paper-peering-turlas-second-stage-backdoor/https://cyberscoop.com/gazer-backdoor-turla-eset-2017/https://blogs.blackberry.com/en/2017/06/this-week-in-security-6-09-2017https://www.proofpoint.com/us/threat-insight/post/turla-apt-actor-refreshes-kopiluwak-javascript-backdoor-use-g20-themed-attackhttps://www.welivesecurity.com/2018/05/22/turla-mosquito-shift-towards-generic-tools/https://www.welivesecurity.com/2019/05/29/turla-powershell-usage/https://www.theregister.com/2019/10/21/british_spies_russia_faking_iranian_hack/https://www.mandiant.com/resources/blog/turla-galaxy-opportunityhttps://techcrunch.com/2023/05/10/turla-snake-malware-network-russia-fsb/https://securelist.com/sunburst-backdoor-kazuar/99981/   Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/

Tänään metsällä jutustellaan Kohopallolaukausesta ja paperihaavassa olevasta haavasta (haavaception!). Lisäksi kokeillaan jotain uutta.Lähteet:https://www.elastic.co/security-labs/elastic-security-labs-discovers-lobshot-malwarehttps://www.trendmicro.com/en_us/research/23/d/update-now-papercut-vulnerability-cve-2023-27350-under-active-ex.htmlhttps://www.helpnetsecurity.com/2023/04/25/cve-2023-27350-poc/https://www.huntress.com/blog/critical-vulnerabilities-in-papercut-print-management-software Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/

Uhkametsällä perehdytään alati muuttuvaan initial access loader kentään (ei tule varmaan kenellekkään yllätyksenä), ihmetellään Ben & Jerry jäätelömakuista valtiollista toimijaa, unohtamatta Jounin grillikauden avausta!Jakson lähteet:Qakbot: https://www.malwarebytes.com/blog/news/2023/04/qbot-changes-tactic-remains-a-menace-to-business-networksBumbleBee: https://www.secureworks.com/blog/bumblebee-malware-distributed-via-trojanized-installer-downloadsInfostealer ecosystem Sekoia: https://blog.sekoia.io/overview-of-the-russian-speaking-infostealer-ecosystem-the-distribution/AuKill: https://news.sophos.com/en-us/2023/04/19/aukill-edr-killer-malware-abuses-process-explorer-driver/Mint Sandstorm: https://www.microsoft.com/en-us/security/blog/2023/04/18/nation-state-threat-actor-mint-sandstorm-refines-tradecraft-to-attack-high-value-targets/Microsoft taksonomia: https://www.microsoft.com/en-us/security/blog/2023/04/18/microsoft-shifts-to-a-new-threat-actor-naming-taxonomy/ Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/

Metsällä pitkästä aikaa juttua ransuhauvasta, unohtamatta 3CX toimitusketju-murtoa ja itsepurkautuvia arkistoja. Miten muuten lausutaan Rorschach?Lähteet:https://www.huntress.com/blog/3cx-voip-software-compromise-supply-chain-threatshttps://twitter.com/fr0gger_/status/1641668394155151366/photo/1https://securityaffairs.com/144425/cyber-crime/rorschach-ransomware-fast-encryption.htmlhttps://therecord.media/cobalt-strike-abuse-microsoft-fortra-health-isachttps://www.bleepingcomputer.com/news/security/winrar-sfx-archives-can-run-powershell-without-being-detected/https://www.crowdstrike.com/blog/self-extracting-archives-decoy-files-and-their-hidden-payloads/ Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/

Uhkametsällä käsitellään tällä erää uusia työkaluja, arvioidaan miten kinettisiä uhkia voi metsästää sekä katsaus uusimpiin uhkiin joita Red Canary on raportissaan maininnut. Fiilistellään myös tietokonepelejä!Lähteet:https://threathunt.blog/analysis-of-the-current-malware-icedid/https://arstechnica.com/gadgets/2023/03/journalist-plugs-in-unknown-usb-drive-mailed-to-him-it-exploded-in-his-face/https://www.bleepingcomputer.com/news/security/emotet-malware-now-distributed-in-microsoft-onenote-files-to-evade-defenses/https://twitter.com/DTCERT/status/1639281735593590784https://www.cisa.gov/news-events/alerts/2023/03/23/untitled-goose-tool-aids-hunt-and-incident-response-azure-azure-active-directory-and-microsoft-365https://www.github.com/cisagov/untitledgoosetoolhttps://www.kqlsearch.comhttps://resource.redcanary.com/rs/003-YRU-314/images/2023_ThreatDetectionReport_RedCanary.pdf Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/