Episodes

  • PALAUTEKYSELY JAKSOSTA JA YLEISESTI UHKAMETS√ĄST√Ą: https://qup4621yg.supersurvey.com

    Mitä tekisit, jos yrityksesi joutuisi yhtäkkiä yhden maailman pahamaineisimman uhkaryhmän saartamaksi? Tässä jaksossa kerrotaan hermoja raastavasta koettelemuksesta, jonka rakastettu suomalainen makkarayritys Matin Nakki Oy koki joutuessaan kehittyneen kyberhyökkäyksen kohteeksi Moonstone Sleetin toimesta vuonna 2024. Liity seuraamme, kun seuraamme IT-päällikkö Jaria ja hänen tiimiään heidän tehdessään raskaita päätöksiä ja valvoessaan öitä yrittäessään saada järjestelmänsä takaisin hallintaansa vakavan kiristyshaittaohjelmauhan keskellä. Todista dramaattisia hetkiä, kun he tasapainottelevat lunnaiden maksamisen ja Kyberturvallisuuskeskuksen ohjeiden noudattamisen välillä.

    Tutustu kyberhyökkäysten nopeaan ja huomaamattomaan luonteeseen, joka voi tuhota jopa parhaiten valmistautuneet organisaatiot. Syvennymme asiantuntevien incident response -tiimien kriittiseen rooliin.. Jarin ja hänen tiiminsä kokema emotionaalinen ja operatiivinen rasitus korostaa vahvojen kyberturvallisuustoimenpiteiden välttämättömyyttä.

    Lopuksi pohdimme yksityisten yritysten ja kyberturvallisuusviranomaisten monimutkaisia vuorovaikutuksia kriisitilanteessa. Matin Nakki Oy:n tarina korostaa ajantasaisen tietosuojan ja raportoinnin tärkeyttä vakavien GDPR-sanktioiden välttämiseksi. Lopetamme jaksomme jakamalla jännittäviä suunnitelmiamme laajentaa Uhkametsää audiovisuaaliseen sisältöön ja Juuson viimeisimpiä , samalla kutsuen kuulijoiden palautetta auttamaan tulevien keskustelujemme parantamisessa. Liity seuraamme jaksoon, joka on täynnä arvokkaita oivalluksia, dramaattisia kertomuksia ja kurkistuksia tulevaisuuden suunnitelmiimme.

    Instagram: https://www.instagram.com/uhkametsa/
    Linkedin: https://www.linkedin.com/company/uhkametsa/
    X: https://twitter.com/uhkametsa

  • T√§n√§√§n mets√§ll√§ puhutaan muutamista eri aiheista, joista eniten aikaa vietet√§√§n hypoteesin luomisen tuskan parissa. K√§ymme siis l√§pi ajatuksia miten luoda uhkamets√§stys hypoteeseja, ehk√§ eniten suunnattuna aloitteleville mets√§st√§jille. Kokeneet mets√§st√§j√§t eiv√§t t√§st√§ v√§ltt√§m√§tt√§ kauheasti koosta, mutta ehk√§p√§ jotain hyvi√§ vinkkej√§ voi tarttua teillekin. Samalla mietit√§√§n voiko GenAi auttaa hypoteesin luomisen kanssa. T√§ss√§ listaa p√§iv√§n aiheista:

    Uhkametsästys ja hypoteesien luomisen vaikeusPohjois-Korealaisen uhkatoimijan epätavalliset toimintatavatArc selaimen laukaisu Windows alustalla aiheutti hämminkiä.Operation EndgameKasperskyn IR raportin perkaustaLuottosuhteiden hyväksikäyttö (supply chainit)

    Lähteet:
    https://www.bleepingcomputer.com/news/security/arc-browsers-windows-launch-targeted-by-google-ads-malvertising/
    https://www.theregister.com/2024/05/23/ransomware_abuses_microsoft_bitlocker/
    https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2024/05/13125640/Kaspersky-IR_Analyst_report_2023_EN.pdf
    https://securelist.com/trusted-relationship-attack/112731/
    https://www.microsoft.com/en-us/security/blog/2024/05/28/moonstone-sleet-emerges-as-new-north-korean-threat-actor-with-new-bag-of-tricks/
    https://haveibeenpwned.com/DomainSearch
    https://www.europol.europa.eu/media-press/newsroom/news/largest-ever-operation-against-botnets-hits-dropper-malware-ecosystem
    https://securelist.com/trusted-relationship-attack/112731/

    Instagram: https://www.instagram.com/uhkametsa/
    Linkedin: https://www.linkedin.com/company/uhkametsa/
    X: https://twitter.com/uhkametsa

  • Missing episodes?

    Click here to refresh the feed.

  • T√§ss√§ jaksossa Uhkamets√§ uudistuu hieman ja tuomme uusia el√§inaiheisia √§√§ni√§ jaksoon. Tarkkakuuloisimmat saattavatkin tunnistaa muutaman tutun el√§imen jakson aikana!

    Jaksossa käsitellään mm. MITREen kohdistunutta hyökkäystä, identiteetteihin kohdistuvia uhkia ja näiden metsästystä ja tuttuun tapaan myös huonoja uutisia laidasta laitaan.

    Lähdeluettelo:

    Juuson esitys Elisan kyberturvailtapäivässä: https://cloud.viestinta.elisa.fi/kyberturva-tallenne

    MITREen kohdistunut hyökkäys: https://medium.com/mitre-engenuity/advanced-cyber-threats-impact-even-the-most-prepared-56444e980dc8

    MITRE hyökkäyksen tekninen läpikäynti: https://medium.com/mitre-engenuity/technical-deep-dive-understanding-the-anatomy-of-a-cyber-intrusion-080bddc679f3

    MITRE Attack Flow työkalu: https://center-for-threat-informed-defense.github.io/attack-flow/builder/

    MITRE Attack Flow NERVE verkosta: https://center-for-threat-informed-defense.github.io/attack-flow/ui/?src=..%2fcorpus%2fMITRE%20NERVE.afb

    Forensiset artifaktit identiteettitutkintaan: https://techcommunity.microsoft.com/t5/microsoft-security-experts-blog/forensic-artifacts-in-office-365-and-where-to-find-them/ba-p/3634865

    Unified Audit Log kirjoitus: https://techcommunity.microsoft.com/t5/microsoft-security-experts-blog/good-ual-hunting/ba-p/3718421

    Hijack loader artikkeli: https://thehackernews.com/2024/05/hijack-loader-malware-employs-process.html

    Hijackin tekninen läpikatsaus: https://www.crowdstrike.com/blog/hijackloader-expands-techniques/

    SocGholish artikkeli: https://www.esentire.com/blog/socgholish-sets-sights-on-victim-peers

    BlackBasta artikkeli: https://www.darkreading.com/cyberattacks-data-breaches/500-victims-later-black-basta-reinvents-novel-vishing-strategy

    CISA vaatii toimenpiteitä BlackBastan hyökättyä Acensioniin: https://www.theregister.com/2024/05/13/cisa_ascension_ransomware/

    Lisää BlackBastaa:
    https://thehackernews.com/2024/05/black-basta-ransomware-strikes-500.html

    CISA julkaisema advisory: https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-131a

    BlackBasta ja Ascension hyökkäys: https://www.beckershospitalreview.com/cybersecurity/how-the-ransomware-group-linked-to-ascension-hack-operates.html

    BlackBastan hyökkäys kriittiseen infrastruktuuriin: https://arstechnica.com/security/2024/05/black-basta-ransomware-group-is-imperiling-critical-infrastructure-groups-warn/

    Qakbot 0-päivä: https://securelist.com/cve-2024-30051/112618/

    GitHub haittaohjelmakäytössä: https://go.recordedfuture.com/hubfs/reports/cta-2024-0514.pdf

    Instagram: https://www.instagram.com/uhkametsa/
    Linkedin: https://www.linkedin.com/company/uhkametsa/
    X: https://twitter.com/uhkametsa

  • T√§ll√§ kertaa mets√§ll√§ puhutaan ensin Uhkamets√§n ominta omaa, eli k√§yt√§nteit√§! Fear not, ainakin puhumme sent√§√§n ensivasteen, eli Incident Responsen, k√§yt√§nn√∂ist√§ ja enemm√§nkin siit√§, ett√§ millaisia rooleja Majuri Poikkeamassa voi olla. Toki my√∂s muutenkin viitataan k√§yt√§teisiin n√§iden roolien pohjalta. T√§st√§ siirryt√§√§n k√§tev√§sti sitten huonoihin uutisiin jossa mm hienoa nallea, Lazaruksen rottaa ja my√∂skin hieman asiaa identiteetti√§ koskevasta uhkamets√§styksest√§!

    Lähteet:
    https://www.microsoft.com/en-us/security/blog/2023/12/11/new-microsoft-incident-response-team-guide-shares-best-practices-for-security-teams-and-leaders/
    https://www.youtube.com/watch?v=0M55onu7mVI
    https://thehackernews.com/2024/04/coralraider-malware-campaign-exploits.html
    https://securityaffairs.com/162333/cyber-crime/swedens-liquor-supply-ransomware-attack.html
    https://www.scmagazine.com/brief/third-party-ransomware-attack-threatens-swedens-liquor-supply
    https://thehackernews.com/2024/04/north-koreas-lazarus-group-deploys-new.html
    https://blog.qualys.com/vulnerabilities-threat-research/2024/04/24/arcanedoor-unlocked-tackling-state-sponsored-cyber-espionage-in-network-perimeters
    https://security.googleblog.com/2024/04/detecting-browser-data-theft-using.html
    https://techcommunity.microsoft.com/t5/microsoft-security-experts-blog/hunting-in-azure-subscriptions/ba-p/4125875
    https://twitter.com/Cryptolaemus1/status/1785423804577034362
    https://www.microsoft.com/en-us/security/blog/2024/04/22/analyzing-forest-blizzards-custom-post-compromise-tool-for-exploiting-cve-2022-38028-to-obtain-credentials/

    Instagram: https://www.instagram.com/uhkametsa/
    Linkedin: https://www.linkedin.com/company/uhkametsa/
    X: https://twitter.com/uhkametsa

  • T√§ss√§ jaksossa k√§yd√§√§n v√§h√§n r√§stej√§ l√§pi ja k√§sitell√§√§n 12 huonoa uutista! T√§m√§ jakso onkin varmasti kaikille Uhkamets√§n huonojen uutisten faneille mieleinen!

    Käydään läpi Sandwormia (kahteen kertaan), uusia lastaajia, haavoittuvuuksia sekä Windowsin tuntemattomampia ominaisuuksia. Tervetuloa kuulolle!

    Jakson lähdemateriaali enemmän tai vähemmän järjestyksessä:

    Mandiantin Sandworm raportti: https://services.google.com/fh/files/misc/apt44-unearthing-sandworm.pdf

    Palo Alto SSL VPN haavoittuvuus: https://unit42.paloaltonetworks.com/cve-2024-3400/#post-133365-_vgezw6a4uez

    Palo Alto SSL VPN osa 2: https://www.theregister.com/2024/04/17/researchers_exploit_code_for/

    TA544 uutisia: https://www.proofpoint.com/us/threat-insight/post/threat-actor-profile-ta544-targets-geographies-italy-japan-range-malware

    WikiLoader IOC: https://github.com/pr0xylife/WikiLoader/blob/main/WikiLoader_17.04.2024.txt

    Tekoälyn kirjoittamaa PowerShelliä: https://www.bleepingcomputer.com/news/security/malicious-powershell-script-pushing-malware-looks-ai-written/

    Vadelmatipun uudet kujeet: https://thehackernews.com/2024/04/raspberry-robin-returns-new-malware.html?m=1

    Taikurikärry: https://www.darkreading.com/cloud-security/magecart-attackers-pioneer-persistent-ecommerce-backdoor

    Taikurikärry Darknet Diaries kuuntelusuositus: https://darknetdiaries.com/episode/52/
    https://sansec.io/research/magento-xml-backdoor

    Latrodectus lastaaja: https://www.bleepingcomputer.com/news/security/new-latrodectus-malware-replaces-icedid-in-network-breaches/#google_vignette

    Latrodectus #2: https://www.hackread.com/latrodectus-downloader-malware-icedid-qbot/

    SVG tiedostot: https://cofense.com/blog/svg-files-abused-in-emerging-campaigns/

    Kapeka haittaohjelma: https://therecord.media/sandworm-backdoor-malware-eastern-europe-kapeka

    Windowsin kuidut ja säikeet: https://www.darkreading.com/application-security/sneaky-shellcode-windows-fibers-edr-proof-code-execution

    NordVPN typosquatting ja malvertising: https://www.scmagazine.com/news/bing-ad-posing-as-nordvpn-aims-to-spread-sectoprat-malware

    Instagram: https://www.instagram.com/uhkametsa/
    Linkedin: https://www.linkedin.com/company/uhkametsa/
    X: https://twitter.com/uhkametsa

  • T√§ll√§ kertaa Uhkamets√§ll√§ puhutaan Kiinan valtion suorittamista kyberoperaatioista muita maita kohtaan. Jaksossa puhutaan siis APT31:n touhuista joka on liipannut l√§heisesti my√∂s Suomea. Jakson perustana toimii Yhdysvaltain syyte seitsem√§√§ henkil√∂√§ vastaan jotka ovat syytteen mukaan olleet osallisina Kiinan suorittamissa operaatioissa.

    Eli kyseessä on Juuson terminologian mukaan jälleenkin Teemajakso!

    Lähteet:
    https://www.justice.gov/opa/media/1345141/dl?inline
    https://home.treasury.gov/news/press-releases/jy2205
    https://www.justice.gov/opa/pr/seven-hackers-associated-chinese-government-charged-computer-intrusions-targeting-perceived
    https://yle.fi/a/74-20081005
    https://www.is.fi/digitoday/tietoturva/art-2000010319962.html
    https://www.is.fi/digitoday/tietoturva/art-2000007867387.html

    Instagram: https://www.instagram.com/uhkametsa/
    Linkedin: https://www.linkedin.com/company/uhkametsa/
    X: https://twitter.com/uhkametsa

  • T√§ss√§ jaksossa k√§yd√§√§n v√§h√§n kevyemmin viime aikaisia uhkia l√§pi! T√§ll√§ kertaa juontajakaksikkoa puhututtaa TinyTurla sek√§ Strela infostealer. K√§yd√§√§n n√§ist√§ l√§pi tuttuun tapaan hunttaus ideoita sek√§ p√§ivitell√§√§n huonot uutiset. Er√§√§ss√§ suositussa peliss√§ ollut kenties jotain outoa kesken turnauksen?

    Tervetuloa kuulolle!

    Jakson lähdeluettelo:
    https://www.bleepingcomputer.com/news/security/new-strelastealer-malware-steals-your-outlook-thunderbird-accounts/#google_vignette
    https://threathunt.blog/dll-image-loads-from-suspicious-locations-by-regsvr32-exe-rundll32-exe/
    https://www.bleepingcomputer.com/news/security/apex-legends-players-worried-about-rce-flaw-after-algs-hacks/
    https://blog.talosintelligence.com/tinyturla-full-kill-chain/

    Instagram: https://www.instagram.com/uhkametsa/
    Linkedin: https://www.linkedin.com/company/uhkametsa/
    X: https://twitter.com/uhkametsa

  • T√§m√§n p√§iv√§n jaksossa puhutaan siit√§ kun menee mets√§√§n, eli ransomware operaattoreista, heid√§n yleisimmin k√§ytetyist√§ taktiikoista, tekniikoista ja toimintatavoista. Lis√§ksi puhutaan siit√§, ett√§ miten n√§it√§ erilaisia tekniikoita voidaan potentiaalisesti mets√§st√§√§, havaita tai est√§√§. Luvassa uhkiksen toistaiseksi pisin jakso ja paljon keskustelua ransomwaresta.

    Lähteet:
    https://www.wired.com/story/alphv-change-healthcare-ransomware-payment/
    https://adsecurity.org/?p=3458
    https://hstechdocs.helpsystems.com/manuals/cobaltstrike/current/userguide/content/topics/welcome_main.htm
    https://any.run/malware-trends/exela

    Instagram: https://www.instagram.com/uhkametsa/
    Linkedin: https://www.linkedin.com/company/uhkametsa/
    X: https://twitter.com/uhkametsa

  • Laiva on lastattu t√§ll√§ kertaa Pokemoneilla ja toimitusjohtajamyrkytyksill√§. T√§ss√§ jaksossa kertaa Uhkis k√§sittelee kahta laturia / lastaajaa ja n√§iden uusia kujeita. K√§yd√§√§n l√§pi my√∂s konkreettiset ideat miten voidaan huntata sek√§ havaita ymp√§rist√∂st√§ ja annetaan my√∂s suojautumisvinkkej√§ pohdittavaksi.

    Tervetuloa kuuntelemaan!

    Lähteet:

    Elasticin Pikabot artikkeli: https://www.elastic.co/security-labs/pikabot-i-choose-you
    ZScalerin Pikabot artikkeli: https://www.zscaler.com/blogs/security-research/d-evolution-pikabot
    Cryptlaemuksen twiitti Pikabot kampanjasta: https://twitter.com/Cryptolaemus1/status/1755655639370514595
    SocGholish artikkeli: https://www.reliaquest.com/blog/new-python-socgholish-infection-chain/
    FakeUpdates IOC: https://threatfox.abuse.ch/browse/malware/js.fakeupdates/
    Connectwise Screenconnect haavoittuvuus: https://www.darkreading.com/remote-workforce/connectwise-screenconnect-mass-exploitation-delivers-ransomware
    Connectwise Screenconnect exploit / John Hammond: https://www.youtube.com/watch?v=AWGoGO5jnvY&t=5s
    Lockbit uutisartikkeli: https://yle.fi/a/74-20075430

    Instagram: https://www.instagram.com/uhkametsa/
    Linkedin: https://www.linkedin.com/company/uhkametsa/
    X: https://twitter.com/uhkametsa

  • T√§m√§n kertaisessa jaksossa puhellaan ransuttajien rahulioperaatioista vuodelta 2023, sek√§ arvaillaan teko√§lyn tulevaisuutta puolustavalla puolella. Lis√§ksi jutellaan Kiinalaisista uhkatoimijoista huonojen uutisten muodossa.

    Lähteet:
    https://www.chainalysis.com/blog/ransomware-2024/
    https://www.paloaltonetworks.com/blog/2024/02/the-power-of-ai-in-cybersecurity/
    https://www.bleepingcomputer.com/news/security/chinese-hackers-infect-dutch-military-network-with-malware/
    https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a

    Instagram: https://www.instagram.com/uhkametsa/
    Linkedin: https://www.linkedin.com/company/uhkametsa/
    X: https://twitter.com/uhkametsa

  • T√§ss√§ jaksossa keskustellaan Juuson DFIR taipaleesta n. vuoden kohdalla sek√§ pohditaan public facing vai julkinaamaisten laitteiden turvallisuudesta. Tuttuun tapaa juttua riitt√§√§ ja t√§st√§ tulikin yksi pisimpi√§ jaksoja Uhkiksen historiassa!

    Tehdään myös katsaus huonoissa uutisissa Applen tietoturvakontrolleihin ja käydään läpi Akiran viimeisimmät edesottamukset.

    Tervetuloa kuuntelemaan!

    Jakson lähdemateriaali:
    https://www.sentinelone.com/blog/the-many-faces-of-undetected-macos-infostealers-keysteal-atomic-cherrypie-continue-to-adapt/
    https://support.apple.com/guide/security/protecting-against-malware-sec469d47bd8/web
    https://securityaffairs.com/156951/security/ivanti-critical-epm-flaw.html
    https://www.theregister.com/2024/01/22/ivanti_and_juniper_networks_criics_unhappy/
    https://www.bleepingcomputer.com/news/security/fortra-warns-of-new-critical-goanywhere-mft-auth-bypass-patch-now/

    Instagram: https://www.instagram.com/uhkametsa/
    Linkedin: https://www.linkedin.com/company/uhkametsa/
    X: https://twitter.com/uhkametsa

  • Jaksossa selvi√§√§ onko HopeaRotta uusi RAP-artisti vaiko jotain muuta. Lis√§ksi Uhkamets√§ k√§y l√§pi viime vuoden jaksoja ja juontajat esittelev√§t itsens√§ ja uratarinansa. P√§√§dyimme kertomaan taustatarinaa itsest√§mme sik√§li jos meill√§ on uusia kuulijoita jotka eiv√§t ole alkup√§√§n jaksoja kuunelleet, jossa mahdollisesti k√§ytiin l√§pi esittelyj√§.

    Jaksossa myös puidaan, että johtavatko Juuson nykyiset harrastukset rikolliseen uraan.

    Ainiin, muistakaa Uhkiksen uusi IG:
    https://www.instagram.com/uhkametsa/

    Lähteet:
    https://attack.mitre.org/groups/G0034/
    https://www.reuters.com/world/europe/russian-hackers-were-inside-ukraine-telecoms-giant-months-cyber-spy-chief-2024-01-04/
    https://www.reuters.com/technology/cybersecurity/ukraine-says-russian-intelligence-linked-hackers-claim-cyberattack-mobile-2023-12-13/
    https://en.wikipedia.org/wiki/Kyivstar
    https://twitter.com/TwiyKyivstar/status/1734885428891988191
    https://www.bleepingcomputer.com/news/security/toronto-zoo-ransomware-attack-had-no-impact-on-animal-wellbeing/
    https://www.hackread.com/youtube-channels-hacked-lumma-stealer-software/
    https://thehackernews.com/2024/01/uac-0050-group-using-new-phishing.html
    https://www.cyfirma.com/outofband/a-gamer-turned-malware-developer-diving-into-silverrat-and-its-syrian-roots/

    Instagram: https://www.instagram.com/uhkametsa/
    Linkedin: https://www.linkedin.com/company/uhkametsa/
    X: https://twitter.com/uhkametsa

  • Juhlitaan Uhkamets√§ll√§ uutta vuotta, keskustellaan loadereista ja Akira kiristyshaittaohjelmajengist√§. Maistellaan my√∂s koko jakso uuden vuoden herkkuja. Tervetuloa kuuntelemaan!

    https://blog.sekoia.io/darkgate-internals/
    https://www.trellix.com/about/newsroom/stories/research/the-continued-evolution-of-the-darkgate-malware-as-a-service/
    https://d01a.github.io/pikabot/
    https://www.malwarebytes.com/blog/threat-intelligence/2023/12/pikabot-distributed-via-malicious-ads
    https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/kyberturvallisuuskeskuksen-viikkokatsaus-522023
    https://news.sophos.com/en-us/2023/12/21/akira-again-the-ransomware-that-keeps-on-taking/
    https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-akira
    https://news.sophos.com/en-us/2023/05/09/akira-ransomware-is-bringin-88-back/
    https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/kyberturvallisuuskeskuksen-viikkokatsaus-522023
    https://www.virustotal.com/gui/file/b7458c63e9a6f60aa0cded69aa55a1d5a2150e271b7696b6aaecb47ffe08b159/detection <- Qakbot Tchk06 sample

    Instagram: https://www.instagram.com/uhkametsa/
    Linkedin: https://www.linkedin.com/company/uhkametsa/
    X: https://twitter.com/uhkametsa

  • T√§ll√§ kertaa menn√§√§n aihealueeseen joka on meid√§n syd√§nt√§ l√§hell√§. K√§sittelemme uhkamets√§styst√§ koko jakson verran ja ammennamme hieman sit√§ mit√§ itse olemme tehneet. Luvassa saattaa olla my√∂s hieman r√§ntt√§√§mist√§. Sori siit√§.

    Lähteet:
    https://www.britannica.com/science/scientific-hypothesis
    https://www.splunk.com/en_us/blog/security/peak-threat-hunting-framework.html

    Instagram: https://www.instagram.com/uhkametsa/
    Linkedin: https://www.linkedin.com/company/uhkametsa/
    X: https://twitter.com/uhkametsa

  • Uhkamets√§ll√§ suomennetaan taas termej√§ oikein urakalla, k√§yd√§√§n kuulumisia tuttuun tapaan l√§pi pari tuntia sek√§ puhutaan v√§h√§n kyberist√§. Aiheina t√§ll√§ kertaa viranomaisyhteisty√∂, kriittiseen infrastruktuuriin kohdistuvat hy√∂kk√§ykset ja uravinkkej√§! Tervetuloa kuulolle.

    Lähdeluettelo:
    https://www.europol.europa.eu/media-press/newsroom/news/international-collaboration-leads-to-dismantlement-of-ransomware-group-in-ukraine-amidst-ongoing-war
    https://cyberpolice.gov.ua/news/ponad--milyardy-gryven-zbytkiv-kiberpolicziya-ta-slidchi-naczpolu-vykryly-xakeriv-yaki-atakuvaly-providni-svitovi-kompaniyi-1780/
    https://twitter.com/BushidoToken/status/1729467756699857088
    https://www.microsoft.com/en-us/security/blog/2022/05/09/ransomware-as-a-service-understanding-the-cybercrime-gig-economy-and-how-to-protect-yourself/#DEV-0237
    https://media.kasperskycontenthub.com/wp-content/uploads/sites/100/2020/05/12075747/KSN-article_Ransomware-in-2018-2020-1.pdf
    https://news.microsoft.com/source/features/digital-transformation/hackers-hit-norsk-hydro-ransomware-company-responded-transparency/
    https://success.trendmicro.com/dcx/s/solution/1122802-megacortex-ransomware-information?language=en_US&sfdcIFrameOrigin=null
    https://www.politico.eu/article/energy-power-europe-grid-is-under-a-cyberattack-deluge-industry-warns/
    https://www.mandiant.com/resources/blog/sandworm-disrupts-power-ukraine-operational-technology
    https://www.bleepingcomputer.com/news/security/slovenias-largest-power-provider-hse-hit-by-ransomware-attack/
    https://securityaffairs.com/154785/cyber-crime/rhysida-ransomware-china-energy.html

    Instagram: https://www.instagram.com/uhkametsa/
    Linkedin: https://www.linkedin.com/company/uhkametsa/
    X: https://twitter.com/uhkametsa

  • T√§m√§n p√§iv√§n jaksossa jutellaan taannoisesta hy√∂kk√§yksest√§ Tanskan Energiasektoria vastaan. Lis√§ksi muutama huono uutinen ja toivottavasti viimeist√§ kertaa v√§h√§√§n aikaan Octo Spiderin kuulumisia.

    Lähteet:
    https://sektorcert.dk/wp-content/uploads/2023/11/SektorCERT-The-attack-against-Danish-critical-infrastructure-TLP-CLEAR.pdf
    https://www.fortinet.com/content/dam/fortinet/assets/threat-reports/rhysida-ransomware-intrusion.pdf
    https://www.securityweek.com/ransomware-group-files-sec-complaint-over-victims-failure-to-disclose-data-breach/

    Instagram: https://www.instagram.com/uhkametsa/
    Linkedin: https://www.linkedin.com/company/uhkametsa/
    X: https://twitter.com/uhkametsa

  • T√§ss√§ jaksossa Uhkamets√§ll√§ tarkastellaan uudehkoa uhkatoimijaa Octo Tempest / Scattered Spider / UNC3944. Juontajat k√§yv√§t l√§pi uhkatoimijan kehittymist√§ sek√§ heid√§n k√§ytt√§mi√§√§n taktiikoita, tekniikoita, sek√§ toimenpiteit√§.

    Jakson lähdeluettelo:
    https://www.microsoft.com/en-us/security/blog/2023/10/25/octo-tempest-crosses-boundaries-to-facilitate-extortion-encryption-and-destruction/
    https://www.crowdstrike.com/adversaries/scattered-spider/
    https://www.is.fi/digitoday/tietoturva/art-2000009070262.html
    https://darknetdiaries.com/transcript/112/

    https://www.cisco.com/c/en/us/support/docs/csa/cisco-sa-iosxe-webui-rce-uk8BXcUD.html
    https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/
    https://bazaar.abuse.ch/browse/tag/pikabot/
    https://threatfox.abuse.ch/browse/malware/win.pikabot/
    https://www.bleepingcomputer.com/news/security/new-cvss-40-vulnerability-severity-rating-standard-released/

    Instagram: https://www.instagram.com/uhkametsa/
    Linkedin: https://www.linkedin.com/company/uhkametsa/
    X: https://twitter.com/uhkametsa

  • T√§ll√§ kertaa Uhkamets√§ll√§ puhutaan teknisist√§ incident response tutkinnan vaiheista. Aihe on pintaraapaisu ja aika ei yhdess√§ jaksossa riit√§ k√§sittelem√§√§n kuin melko pintapuolisesti aihealuetta. T√§m√§ on hieman teknisempi jatke jaksolle 26: Poikkeamanhallinta ja tutkinta.

    Lähteet:
    https://zeltser.com/security-incident-questionnaire-cheat-sheet/
    https://www.ietf.org/rfc/rfc3227.txt
    https://github.com/ufrisk/MemProcFS
    https://github.com/volatilityfoundation/volatility3
    https://github.com/volatilityfoundation/volatility
    https://volatility3.readthedocs.io/en/stable/volatility3.plugins.html
    https://github.com/VirusTotal/yara
    https://github.com/DidierStevens/DidierStevensSuite/blob/master/1768.py
    https://www.youtube.com/watch?v=8b6etqiIvb4 <- Christopher Lopez, Will they read my reports? Creating value driven reports
    https://www.youtube.com/watch?v=gqsE2coucjg <- Selena Larson, Threat Intel for Everyone: Writing Like a Jounarlist to produce clear, concise reports
    https://www.youtube.com/watch?v=vwKlNZ6mxak <- Lenny Zeltser, Hack the reader: Writing Effective Threat Reports with Lenny Zeltser
    https://www.sans.org/posters/windows-forensic-analysis/
    https://ericzimmerman.github.io/#!index.md
    https://timesketch.org/
    https://github.com/log2timeline/plaso
    https://github.com/WithSecureLabs/chainsaw
    https://github.com/Yamato-Security/hayabusa
    https://github.com/LDO-CERT/orochi
    https://www.fox-it.com/nl-en/dissect/

    Instagram: https://www.instagram.com/uhkametsa/
    Linkedin: https://www.linkedin.com/company/uhkametsa/
    X: https://twitter.com/uhkametsa

  • T√§ss√§ jaksossa keskustellaan business email compromise (BEC) ilmi√∂st√§, ihmetell√§√§n nime√§misk√§yt√§nt√∂j√§ uhkatoimijoiden toimesta sek√§ valitaan ik√§kriisiin sopivia hoitokeinoja. Tervetuloa kuuntelemaan!

    Lähdeluettelo:

    https://www.microsoft.com/en-us/security/blog/2023/06/08/detecting-and-mitigating-a-multi-stage-aitm-phishing-and-bec-campaign/
    https://tietosuoja.fi/office-365
    https://learn.microsoft.com/en-us/microsoft-365/security/office-365-security/responding-to-a-compromised-email-account?view=o365-worldwide
    https://blog.talosintelligence.com/qakbot-affiliated-actors-distribute-ransom/
    https://securityaffairs.com/151862/breaking-news/exfiltration-infrastructure.html
    https://serverfault.com/questions/1137030/ftp-error-530-user-cannot-log-in
    https://www.wiz.io/blog/cve-2023-4863-and-cve-2023-5217-exploited-in-the-wild
    https://www.bleepingcomputer.com/news/security/evilproxy-uses-indeedcom-open-redirect-for-microsoft-365-phishing/

    Instagram: https://www.instagram.com/uhkametsa/
    Linkedin: https://www.linkedin.com/company/uhkametsa/
    X: https://twitter.com/uhkametsa

  • Jaksossa puhutaan t√§ll√§ kertaa kahdesta kasinory√∂st√∂st√§, Caesar Entertainmentin ja MGM:n tapauksista.

    Lähdeluettelo:
    https://www.securityweek.com/caesars-confirms-ransomware-hack-stolen-loyalty-program-database/
    https://cybernews.com/editorial/mgm-caesars-explained-scattered-spider/
    https://www.quorumcyber.com/threat-actors/scattered-spider-threat-actor-profile/
    https://www.securityweek.com/two-vegas-casinos-fell-victim-to-cyberattacks-shattering-the-image-of-impenetrable-casino-security/
    https://www.mandiant.com/resources/blog/unc3944-sms-phishing-sim-swapping-ransomware
    https://www.theseus.fi/handle/10024/806660
    https://krebsonsecurity.com/2022/01/who-wrote-the-alphv-blackcat-ransomware-strain/
    https://www.bleepingcomputer.com/news/security/blackcat-alphv-ransomware-linked-to-blackmatter-darkside-gangs/
    https://www.microsoft.com/en-us/security/blog/2022/06/13/the-many-lives-of-blackcat-ransomware/
    https://www.reddit.com/r/cybersecurity/comments/16iubsc/alphv_blackcat_just_released_an_annoucement_about/?share_id=93xIENEcArpzHjZZhmQSs&utm_content=1&utm_medium=ios_app&utm_name=ioscss&utm_source=share&utm_term=1
    https://github.com/mategol/PySilon-malware
    https://finance.yahoo.com/news/spycloud-report-infostealer-malware-precursor-100500075.html?guccounter=1
    https://www.bleepingcomputer.com/news/security/bumblebee-malware-returns-in-new-attacks-abusing-webdav-folders/

    Instagram: https://www.instagram.com/uhkametsa/
    Linkedin: https://www.linkedin.com/company/uhkametsa/
    X: https://twitter.com/uhkametsa