Afleveringen

  • Ilman sen kummempia kaunisteluja, Uhkametsän taru ainakin podcastin formaatissa on ohitse. Kuuntele lyhyt jakso, jossa kerromme lisää tästä päätöksestä. Kiitos kaikille kuulijoille Uhkametsän noin kahden vuoden taipaleen ajalta.

    Tulemme jatkossakin tekemään sisältöä, mutta enemmän Youtuben puolelle. Tämän päätöksen syitä avaamme myös jaksossa. Linkki Youtubeen: https://www.youtube.com/@ThreatForest

    Instagram: https://www.instagram.com/uhkametsa/
    Linkedin: https://www.linkedin.com/company/uhkametsa/

  • Liity seuraamme, kun selvitämme tietovarkaiden kehitystä ja tarkastelemme kahta tuoretta tietovarasta Fickle Stealeria ja Medusa Stealeria. Rust-kielellä kirjoitettu Fickle Stealer käyttää hämäystä ja salaista viestintää kohdistuakseen laajaan valikoimaan arkaluonteisia tietoja, henkilökohtaisista identiteeteistä kryptovaluuttalompakoihin. Medusa Stealer hyökkää ensisijaisesti Windows-järjestelmiin, varastaen verkkosalasanoja ja kryptolompakoita edistyneillä tekniikoilla.

    Teemme katsauksen tutkintaprosesseihin, joita käytetään näiden haitallisten työkalujen analysointiin, sekä metsästykseen. Käsittelemme myös kuulijapalautetta, sekä vihjaamme tulevista tapahtumista. Pysy kyberuhkien edellä kanssamme!

    Instagram: https://www.instagram.com/uhkametsa/
    Linkedin: https://www.linkedin.com/company/uhkametsa/

  • Zijn er afleveringen die ontbreken?

    Klik hier om de feed te vernieuwen.

  • PALAUTEKYSELY JAKSOSTA JA YLEISESTI UHKAMETSÄSTÄ: https://qup4621yg.supersurvey.com

    Mitä tekisit, jos yrityksesi joutuisi yhtäkkiä yhden maailman pahamaineisimman uhkaryhmän saartamaksi? Tässä jaksossa kerrotaan hermoja raastavasta koettelemuksesta, jonka rakastettu suomalainen makkarayritys Matin Nakki Oy koki joutuessaan kehittyneen kyberhyökkäyksen kohteeksi Moonstone Sleetin toimesta vuonna 2024. Liity seuraamme, kun seuraamme IT-päällikkö Jaria ja hänen tiimiään heidän tehdessään raskaita päätöksiä ja valvoessaan öitä yrittäessään saada järjestelmänsä takaisin hallintaansa vakavan kiristyshaittaohjelmauhan keskellä. Todista dramaattisia hetkiä, kun he tasapainottelevat lunnaiden maksamisen ja Kyberturvallisuuskeskuksen ohjeiden noudattamisen välillä.

    Tutustu kyberhyökkäysten nopeaan ja huomaamattomaan luonteeseen, joka voi tuhota jopa parhaiten valmistautuneet organisaatiot. Syvennymme asiantuntevien incident response -tiimien kriittiseen rooliin.. Jarin ja hänen tiiminsä kokema emotionaalinen ja operatiivinen rasitus korostaa vahvojen kyberturvallisuustoimenpiteiden välttämättömyyttä.

    Lopuksi pohdimme yksityisten yritysten ja kyberturvallisuusviranomaisten monimutkaisia vuorovaikutuksia kriisitilanteessa. Matin Nakki Oy:n tarina korostaa ajantasaisen tietosuojan ja raportoinnin tärkeyttä vakavien GDPR-sanktioiden välttämiseksi. Lopetamme jaksomme jakamalla jännittäviä suunnitelmiamme laajentaa Uhkametsää audiovisuaaliseen sisältöön ja Juuson viimeisimpiä , samalla kutsuen kuulijoiden palautetta auttamaan tulevien keskustelujemme parantamisessa. Liity seuraamme jaksoon, joka on täynnä arvokkaita oivalluksia, dramaattisia kertomuksia ja kurkistuksia tulevaisuuden suunnitelmiimme.

    Instagram: https://www.instagram.com/uhkametsa/
    Linkedin: https://www.linkedin.com/company/uhkametsa/

  • Tänään metsällä puhutaan muutamista eri aiheista, joista eniten aikaa vietetään hypoteesin luomisen tuskan parissa. Käymme siis läpi ajatuksia miten luoda uhkametsästys hypoteeseja, ehkä eniten suunnattuna aloitteleville metsästäjille. Kokeneet metsästäjät eivät tästä välttämättä kauheasti koosta, mutta ehkäpä jotain hyviä vinkkejä voi tarttua teillekin. Samalla mietitään voiko GenAi auttaa hypoteesin luomisen kanssa. Tässä listaa päivän aiheista:

    Uhkametsästys ja hypoteesien luomisen vaikeusPohjois-Korealaisen uhkatoimijan epätavalliset toimintatavatArc selaimen laukaisu Windows alustalla aiheutti hämminkiä.Operation EndgameKasperskyn IR raportin perkaustaLuottosuhteiden hyväksikäyttö (supply chainit)

    Lähteet:
    https://www.bleepingcomputer.com/news/security/arc-browsers-windows-launch-targeted-by-google-ads-malvertising/
    https://www.theregister.com/2024/05/23/ransomware_abuses_microsoft_bitlocker/
    https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2024/05/13125640/Kaspersky-IR_Analyst_report_2023_EN.pdf
    https://securelist.com/trusted-relationship-attack/112731/
    https://www.microsoft.com/en-us/security/blog/2024/05/28/moonstone-sleet-emerges-as-new-north-korean-threat-actor-with-new-bag-of-tricks/
    https://haveibeenpwned.com/DomainSearch
    https://www.europol.europa.eu/media-press/newsroom/news/largest-ever-operation-against-botnets-hits-dropper-malware-ecosystem
    https://securelist.com/trusted-relationship-attack/112731/

    Instagram: https://www.instagram.com/uhkametsa/
    Linkedin: https://www.linkedin.com/company/uhkametsa/

  • Tässä jaksossa Uhkametsä uudistuu hieman ja tuomme uusia eläinaiheisia ääniä jaksoon. Tarkkakuuloisimmat saattavatkin tunnistaa muutaman tutun eläimen jakson aikana!

    Jaksossa käsitellään mm. MITREen kohdistunutta hyökkäystä, identiteetteihin kohdistuvia uhkia ja näiden metsästystä ja tuttuun tapaan myös huonoja uutisia laidasta laitaan.

    Lähdeluettelo:

    Juuson esitys Elisan kyberturvailtapäivässä: https://cloud.viestinta.elisa.fi/kyberturva-tallenne

    MITREen kohdistunut hyökkäys: https://medium.com/mitre-engenuity/advanced-cyber-threats-impact-even-the-most-prepared-56444e980dc8

    MITRE hyökkäyksen tekninen läpikäynti: https://medium.com/mitre-engenuity/technical-deep-dive-understanding-the-anatomy-of-a-cyber-intrusion-080bddc679f3

    MITRE Attack Flow työkalu: https://center-for-threat-informed-defense.github.io/attack-flow/builder/

    MITRE Attack Flow NERVE verkosta: https://center-for-threat-informed-defense.github.io/attack-flow/ui/?src=..%2fcorpus%2fMITRE%20NERVE.afb

    Forensiset artifaktit identiteettitutkintaan: https://techcommunity.microsoft.com/t5/microsoft-security-experts-blog/forensic-artifacts-in-office-365-and-where-to-find-them/ba-p/3634865

    Unified Audit Log kirjoitus: https://techcommunity.microsoft.com/t5/microsoft-security-experts-blog/good-ual-hunting/ba-p/3718421

    Hijack loader artikkeli: https://thehackernews.com/2024/05/hijack-loader-malware-employs-process.html

    Hijackin tekninen läpikatsaus: https://www.crowdstrike.com/blog/hijackloader-expands-techniques/

    SocGholish artikkeli: https://www.esentire.com/blog/socgholish-sets-sights-on-victim-peers

    BlackBasta artikkeli: https://www.darkreading.com/cyberattacks-data-breaches/500-victims-later-black-basta-reinvents-novel-vishing-strategy

    CISA vaatii toimenpiteitä BlackBastan hyökättyä Acensioniin: https://www.theregister.com/2024/05/13/cisa_ascension_ransomware/

    Lisää BlackBastaa:
    https://thehackernews.com/2024/05/black-basta-ransomware-strikes-500.html

    CISA julkaisema advisory: https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-131a

    BlackBasta ja Ascension hyökkäys: https://www.beckershospitalreview.com/cybersecurity/how-the-ransomware-group-linked-to-ascension-hack-operates.html

    BlackBastan hyökkäys kriittiseen infrastruktuuriin: https://arstechnica.com/security/2024/05/black-basta-ransomware-group-is-imperiling-critical-infrastructure-groups-warn/

    Qakbot 0-päivä: https://securelist.com/cve-2024-30051/112618/

    GitHub haittaohjelmakäytössä: https://go.recordedfuture.com/hubfs/reports/cta-2024-0514.pdf

    Instagram: https://www.instagram.com/uhkametsa/
    Linkedin: https://www.linkedin.com/company/uhkametsa/

  • Tällä kertaa metsällä puhutaan ensin Uhkametsän ominta omaa, eli käytänteitä! Fear not, ainakin puhumme sentään ensivasteen, eli Incident Responsen, käytännöistä ja enemmänkin siitä, että millaisia rooleja Majuri Poikkeamassa voi olla. Toki myös muutenkin viitataan käytäteisiin näiden roolien pohjalta. Tästä siirrytään kätevästi sitten huonoihin uutisiin jossa mm hienoa nallea, Lazaruksen rottaa ja myöskin hieman asiaa identiteettiä koskevasta uhkametsästyksestä!

    Lähteet:
    https://www.microsoft.com/en-us/security/blog/2023/12/11/new-microsoft-incident-response-team-guide-shares-best-practices-for-security-teams-and-leaders/
    https://www.youtube.com/watch?v=0M55onu7mVI
    https://thehackernews.com/2024/04/coralraider-malware-campaign-exploits.html
    https://securityaffairs.com/162333/cyber-crime/swedens-liquor-supply-ransomware-attack.html
    https://www.scmagazine.com/brief/third-party-ransomware-attack-threatens-swedens-liquor-supply
    https://thehackernews.com/2024/04/north-koreas-lazarus-group-deploys-new.html
    https://blog.qualys.com/vulnerabilities-threat-research/2024/04/24/arcanedoor-unlocked-tackling-state-sponsored-cyber-espionage-in-network-perimeters
    https://security.googleblog.com/2024/04/detecting-browser-data-theft-using.html
    https://techcommunity.microsoft.com/t5/microsoft-security-experts-blog/hunting-in-azure-subscriptions/ba-p/4125875
    https://twitter.com/Cryptolaemus1/status/1785423804577034362
    https://www.microsoft.com/en-us/security/blog/2024/04/22/analyzing-forest-blizzards-custom-post-compromise-tool-for-exploiting-cve-2022-38028-to-obtain-credentials/

    Instagram: https://www.instagram.com/uhkametsa/
    Linkedin: https://www.linkedin.com/company/uhkametsa/

  • Tässä jaksossa käydään vähän rästejä läpi ja käsitellään 12 huonoa uutista! Tämä jakso onkin varmasti kaikille Uhkametsän huonojen uutisten faneille mieleinen!

    Käydään läpi Sandwormia (kahteen kertaan), uusia lastaajia, haavoittuvuuksia sekä Windowsin tuntemattomampia ominaisuuksia. Tervetuloa kuulolle!

    Jakson lähdemateriaali enemmän tai vähemmän järjestyksessä:

    Mandiantin Sandworm raportti: https://services.google.com/fh/files/misc/apt44-unearthing-sandworm.pdf

    Palo Alto SSL VPN haavoittuvuus: https://unit42.paloaltonetworks.com/cve-2024-3400/#post-133365-_vgezw6a4uez

    Palo Alto SSL VPN osa 2: https://www.theregister.com/2024/04/17/researchers_exploit_code_for/

    TA544 uutisia: https://www.proofpoint.com/us/threat-insight/post/threat-actor-profile-ta544-targets-geographies-italy-japan-range-malware

    WikiLoader IOC: https://github.com/pr0xylife/WikiLoader/blob/main/WikiLoader_17.04.2024.txt

    Tekoälyn kirjoittamaa PowerShelliä: https://www.bleepingcomputer.com/news/security/malicious-powershell-script-pushing-malware-looks-ai-written/

    Vadelmatipun uudet kujeet: https://thehackernews.com/2024/04/raspberry-robin-returns-new-malware.html?m=1

    Taikurikärry: https://www.darkreading.com/cloud-security/magecart-attackers-pioneer-persistent-ecommerce-backdoor

    Taikurikärry Darknet Diaries kuuntelusuositus: https://darknetdiaries.com/episode/52/
    https://sansec.io/research/magento-xml-backdoor

    Latrodectus lastaaja: https://www.bleepingcomputer.com/news/security/new-latrodectus-malware-replaces-icedid-in-network-breaches/#google_vignette

    Latrodectus #2: https://www.hackread.com/latrodectus-downloader-malware-icedid-qbot/

    SVG tiedostot: https://cofense.com/blog/svg-files-abused-in-emerging-campaigns/

    Kapeka haittaohjelma: https://therecord.media/sandworm-backdoor-malware-eastern-europe-kapeka

    Windowsin kuidut ja säikeet: https://www.darkreading.com/application-security/sneaky-shellcode-windows-fibers-edr-proof-code-execution

    NordVPN typosquatting ja malvertising: https://www.scmagazine.com/news/bing-ad-posing-as-nordvpn-aims-to-spread-sectoprat-malware

    Instagram: https://www.instagram.com/uhkametsa/
    Linkedin: https://www.linkedin.com/company/uhkametsa/

  • Tällä kertaa Uhkametsällä puhutaan Kiinan valtion suorittamista kyberoperaatioista muita maita kohtaan. Jaksossa puhutaan siis APT31:n touhuista joka on liipannut läheisesti myös Suomea. Jakson perustana toimii Yhdysvaltain syyte seitsemää henkilöä vastaan jotka ovat syytteen mukaan olleet osallisina Kiinan suorittamissa operaatioissa.

    Eli kyseessä on Juuson terminologian mukaan jälleenkin Teemajakso!

    Lähteet:
    https://www.justice.gov/opa/media/1345141/dl?inline
    https://home.treasury.gov/news/press-releases/jy2205
    https://www.justice.gov/opa/pr/seven-hackers-associated-chinese-government-charged-computer-intrusions-targeting-perceived
    https://yle.fi/a/74-20081005
    https://www.is.fi/digitoday/tietoturva/art-2000010319962.html
    https://www.is.fi/digitoday/tietoturva/art-2000007867387.html

    Instagram: https://www.instagram.com/uhkametsa/
    Linkedin: https://www.linkedin.com/company/uhkametsa/

  • Tässä jaksossa käydään vähän kevyemmin viime aikaisia uhkia läpi! Tällä kertaa juontajakaksikkoa puhututtaa TinyTurla sekä Strela infostealer. Käydään näistä läpi tuttuun tapaan hunttaus ideoita sekä päivitellään huonot uutiset. Eräässä suositussa pelissä ollut kenties jotain outoa kesken turnauksen?

    Tervetuloa kuulolle!

    Jakson lähdeluettelo:
    https://www.bleepingcomputer.com/news/security/new-strelastealer-malware-steals-your-outlook-thunderbird-accounts/#google_vignette
    https://threathunt.blog/dll-image-loads-from-suspicious-locations-by-regsvr32-exe-rundll32-exe/
    https://www.bleepingcomputer.com/news/security/apex-legends-players-worried-about-rce-flaw-after-algs-hacks/
    https://blog.talosintelligence.com/tinyturla-full-kill-chain/

    Instagram: https://www.instagram.com/uhkametsa/
    Linkedin: https://www.linkedin.com/company/uhkametsa/

  • Tämän päivän jaksossa puhutaan siitä kun menee metsään, eli ransomware operaattoreista, heidän yleisimmin käytetyistä taktiikoista, tekniikoista ja toimintatavoista. Lisäksi puhutaan siitä, että miten näitä erilaisia tekniikoita voidaan potentiaalisesti metsästää, havaita tai estää. Luvassa uhkiksen toistaiseksi pisin jakso ja paljon keskustelua ransomwaresta.

    Lähteet:
    https://www.wired.com/story/alphv-change-healthcare-ransomware-payment/
    https://adsecurity.org/?p=3458
    https://hstechdocs.helpsystems.com/manuals/cobaltstrike/current/userguide/content/topics/welcome_main.htm
    https://any.run/malware-trends/exela

    Instagram: https://www.instagram.com/uhkametsa/
    Linkedin: https://www.linkedin.com/company/uhkametsa/

  • Laiva on lastattu tällä kertaa Pokemoneilla ja toimitusjohtajamyrkytyksillä. Tässä jaksossa kertaa Uhkis käsittelee kahta laturia / lastaajaa ja näiden uusia kujeita. Käydään läpi myös konkreettiset ideat miten voidaan huntata sekä havaita ympäristöstä ja annetaan myös suojautumisvinkkejä pohdittavaksi.

    Tervetuloa kuuntelemaan!

    Lähteet:

    Elasticin Pikabot artikkeli: https://www.elastic.co/security-labs/pikabot-i-choose-you
    ZScalerin Pikabot artikkeli: https://www.zscaler.com/blogs/security-research/d-evolution-pikabot
    Cryptlaemuksen twiitti Pikabot kampanjasta: https://twitter.com/Cryptolaemus1/status/1755655639370514595
    SocGholish artikkeli: https://www.reliaquest.com/blog/new-python-socgholish-infection-chain/
    FakeUpdates IOC: https://threatfox.abuse.ch/browse/malware/js.fakeupdates/
    Connectwise Screenconnect haavoittuvuus: https://www.darkreading.com/remote-workforce/connectwise-screenconnect-mass-exploitation-delivers-ransomware
    Connectwise Screenconnect exploit / John Hammond: https://www.youtube.com/watch?v=AWGoGO5jnvY&t=5s
    Lockbit uutisartikkeli: https://yle.fi/a/74-20075430

    Instagram: https://www.instagram.com/uhkametsa/
    Linkedin: https://www.linkedin.com/company/uhkametsa/

  • Tämän kertaisessa jaksossa puhellaan ransuttajien rahulioperaatioista vuodelta 2023, sekä arvaillaan tekoälyn tulevaisuutta puolustavalla puolella. Lisäksi jutellaan Kiinalaisista uhkatoimijoista huonojen uutisten muodossa.

    Lähteet:
    https://www.chainalysis.com/blog/ransomware-2024/
    https://www.paloaltonetworks.com/blog/2024/02/the-power-of-ai-in-cybersecurity/
    https://www.bleepingcomputer.com/news/security/chinese-hackers-infect-dutch-military-network-with-malware/
    https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a

    Instagram: https://www.instagram.com/uhkametsa/
    Linkedin: https://www.linkedin.com/company/uhkametsa/

  • Tässä jaksossa keskustellaan Juuson DFIR taipaleesta n. vuoden kohdalla sekä pohditaan public facing vai julkinaamaisten laitteiden turvallisuudesta. Tuttuun tapaa juttua riittää ja tästä tulikin yksi pisimpiä jaksoja Uhkiksen historiassa!

    Tehdään myös katsaus huonoissa uutisissa Applen tietoturvakontrolleihin ja käydään läpi Akiran viimeisimmät edesottamukset.

    Tervetuloa kuuntelemaan!

    Jakson lähdemateriaali:
    https://www.sentinelone.com/blog/the-many-faces-of-undetected-macos-infostealers-keysteal-atomic-cherrypie-continue-to-adapt/
    https://support.apple.com/guide/security/protecting-against-malware-sec469d47bd8/web
    https://securityaffairs.com/156951/security/ivanti-critical-epm-flaw.html
    https://www.theregister.com/2024/01/22/ivanti_and_juniper_networks_criics_unhappy/
    https://www.bleepingcomputer.com/news/security/fortra-warns-of-new-critical-goanywhere-mft-auth-bypass-patch-now/

    Instagram: https://www.instagram.com/uhkametsa/
    Linkedin: https://www.linkedin.com/company/uhkametsa/

  • Jaksossa selviää onko HopeaRotta uusi RAP-artisti vaiko jotain muuta. Lisäksi Uhkametsä käy läpi viime vuoden jaksoja ja juontajat esittelevät itsensä ja uratarinansa. Päädyimme kertomaan taustatarinaa itsestämme sikäli jos meillä on uusia kuulijoita jotka eivät ole alkupään jaksoja kuunelleet, jossa mahdollisesti käytiin läpi esittelyjä.

    Jaksossa myös puidaan, että johtavatko Juuson nykyiset harrastukset rikolliseen uraan.

    Ainiin, muistakaa Uhkiksen uusi IG:
    https://www.instagram.com/uhkametsa/

    Lähteet:
    https://attack.mitre.org/groups/G0034/
    https://www.reuters.com/world/europe/russian-hackers-were-inside-ukraine-telecoms-giant-months-cyber-spy-chief-2024-01-04/
    https://www.reuters.com/technology/cybersecurity/ukraine-says-russian-intelligence-linked-hackers-claim-cyberattack-mobile-2023-12-13/
    https://en.wikipedia.org/wiki/Kyivstar
    https://twitter.com/TwiyKyivstar/status/1734885428891988191
    https://www.bleepingcomputer.com/news/security/toronto-zoo-ransomware-attack-had-no-impact-on-animal-wellbeing/
    https://www.hackread.com/youtube-channels-hacked-lumma-stealer-software/
    https://thehackernews.com/2024/01/uac-0050-group-using-new-phishing.html
    https://www.cyfirma.com/outofband/a-gamer-turned-malware-developer-diving-into-silverrat-and-its-syrian-roots/

    Instagram: https://www.instagram.com/uhkametsa/
    Linkedin: https://www.linkedin.com/company/uhkametsa/

  • Juhlitaan Uhkametsällä uutta vuotta, keskustellaan loadereista ja Akira kiristyshaittaohjelmajengistä. Maistellaan myös koko jakso uuden vuoden herkkuja. Tervetuloa kuuntelemaan!

    https://blog.sekoia.io/darkgate-internals/
    https://www.trellix.com/about/newsroom/stories/research/the-continued-evolution-of-the-darkgate-malware-as-a-service/
    https://d01a.github.io/pikabot/
    https://www.malwarebytes.com/blog/threat-intelligence/2023/12/pikabot-distributed-via-malicious-ads
    https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/kyberturvallisuuskeskuksen-viikkokatsaus-522023
    https://news.sophos.com/en-us/2023/12/21/akira-again-the-ransomware-that-keeps-on-taking/
    https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-akira
    https://news.sophos.com/en-us/2023/05/09/akira-ransomware-is-bringin-88-back/
    https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/kyberturvallisuuskeskuksen-viikkokatsaus-522023
    https://www.virustotal.com/gui/file/b7458c63e9a6f60aa0cded69aa55a1d5a2150e271b7696b6aaecb47ffe08b159/detection <- Qakbot Tchk06 sample

    Instagram: https://www.instagram.com/uhkametsa/
    Linkedin: https://www.linkedin.com/company/uhkametsa/

  • Tällä kertaa mennään aihealueeseen joka on meidän sydäntä lähellä. Käsittelemme uhkametsästystä koko jakson verran ja ammennamme hieman sitä mitä itse olemme tehneet. Luvassa saattaa olla myös hieman ränttäämistä. Sori siitä.

    Lähteet:
    https://www.britannica.com/science/scientific-hypothesis
    https://www.splunk.com/en_us/blog/security/peak-threat-hunting-framework.html

    Instagram: https://www.instagram.com/uhkametsa/
    Linkedin: https://www.linkedin.com/company/uhkametsa/

  • Uhkametsällä suomennetaan taas termejä oikein urakalla, käydään kuulumisia tuttuun tapaan läpi pari tuntia sekä puhutaan vähän kyberistä. Aiheina tällä kertaa viranomaisyhteistyö, kriittiseen infrastruktuuriin kohdistuvat hyökkäykset ja uravinkkejä! Tervetuloa kuulolle.

    Lähdeluettelo:
    https://www.europol.europa.eu/media-press/newsroom/news/international-collaboration-leads-to-dismantlement-of-ransomware-group-in-ukraine-amidst-ongoing-war
    https://cyberpolice.gov.ua/news/ponad--milyardy-gryven-zbytkiv-kiberpolicziya-ta-slidchi-naczpolu-vykryly-xakeriv-yaki-atakuvaly-providni-svitovi-kompaniyi-1780/
    https://twitter.com/BushidoToken/status/1729467756699857088
    https://www.microsoft.com/en-us/security/blog/2022/05/09/ransomware-as-a-service-understanding-the-cybercrime-gig-economy-and-how-to-protect-yourself/#DEV-0237
    https://media.kasperskycontenthub.com/wp-content/uploads/sites/100/2020/05/12075747/KSN-article_Ransomware-in-2018-2020-1.pdf
    https://news.microsoft.com/source/features/digital-transformation/hackers-hit-norsk-hydro-ransomware-company-responded-transparency/
    https://success.trendmicro.com/dcx/s/solution/1122802-megacortex-ransomware-information?language=en_US&sfdcIFrameOrigin=null
    https://www.politico.eu/article/energy-power-europe-grid-is-under-a-cyberattack-deluge-industry-warns/
    https://www.mandiant.com/resources/blog/sandworm-disrupts-power-ukraine-operational-technology
    https://www.bleepingcomputer.com/news/security/slovenias-largest-power-provider-hse-hit-by-ransomware-attack/
    https://securityaffairs.com/154785/cyber-crime/rhysida-ransomware-china-energy.html

    Instagram: https://www.instagram.com/uhkametsa/
    Linkedin: https://www.linkedin.com/company/uhkametsa/

  • Tämän päivän jaksossa jutellaan taannoisesta hyökkäyksestä Tanskan Energiasektoria vastaan. Lisäksi muutama huono uutinen ja toivottavasti viimeistä kertaa vähään aikaan Octo Spiderin kuulumisia.

    Lähteet:
    https://sektorcert.dk/wp-content/uploads/2023/11/SektorCERT-The-attack-against-Danish-critical-infrastructure-TLP-CLEAR.pdf
    https://www.fortinet.com/content/dam/fortinet/assets/threat-reports/rhysida-ransomware-intrusion.pdf
    https://www.securityweek.com/ransomware-group-files-sec-complaint-over-victims-failure-to-disclose-data-breach/

    Instagram: https://www.instagram.com/uhkametsa/
    Linkedin: https://www.linkedin.com/company/uhkametsa/

  • Tässä jaksossa Uhkametsällä tarkastellaan uudehkoa uhkatoimijaa Octo Tempest / Scattered Spider / UNC3944. Juontajat käyvät läpi uhkatoimijan kehittymistä sekä heidän käyttämiään taktiikoita, tekniikoita, sekä toimenpiteitä.

    Jakson lähdeluettelo:
    https://www.microsoft.com/en-us/security/blog/2023/10/25/octo-tempest-crosses-boundaries-to-facilitate-extortion-encryption-and-destruction/
    https://www.crowdstrike.com/adversaries/scattered-spider/
    https://www.is.fi/digitoday/tietoturva/art-2000009070262.html
    https://darknetdiaries.com/transcript/112/

    https://www.cisco.com/c/en/us/support/docs/csa/cisco-sa-iosxe-webui-rce-uk8BXcUD.html
    https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/
    https://bazaar.abuse.ch/browse/tag/pikabot/
    https://threatfox.abuse.ch/browse/malware/win.pikabot/
    https://www.bleepingcomputer.com/news/security/new-cvss-40-vulnerability-severity-rating-standard-released/

    Instagram: https://www.instagram.com/uhkametsa/
    Linkedin: https://www.linkedin.com/company/uhkametsa/

  • Tällä kertaa Uhkametsällä puhutaan teknisistä incident response tutkinnan vaiheista. Aihe on pintaraapaisu ja aika ei yhdessä jaksossa riitä käsittelemään kuin melko pintapuolisesti aihealuetta. Tämä on hieman teknisempi jatke jaksolle 26: Poikkeamanhallinta ja tutkinta.

    Lähteet:
    https://zeltser.com/security-incident-questionnaire-cheat-sheet/
    https://www.ietf.org/rfc/rfc3227.txt
    https://github.com/ufrisk/MemProcFS
    https://github.com/volatilityfoundation/volatility3
    https://github.com/volatilityfoundation/volatility
    https://volatility3.readthedocs.io/en/stable/volatility3.plugins.html
    https://github.com/VirusTotal/yara
    https://github.com/DidierStevens/DidierStevensSuite/blob/master/1768.py
    https://www.youtube.com/watch?v=8b6etqiIvb4 <- Christopher Lopez, Will they read my reports? Creating value driven reports
    https://www.youtube.com/watch?v=gqsE2coucjg <- Selena Larson, Threat Intel for Everyone: Writing Like a Jounarlist to produce clear, concise reports
    https://www.youtube.com/watch?v=vwKlNZ6mxak <- Lenny Zeltser, Hack the reader: Writing Effective Threat Reports with Lenny Zeltser
    https://www.sans.org/posters/windows-forensic-analysis/
    https://ericzimmerman.github.io/#!index.md
    https://timesketch.org/
    https://github.com/log2timeline/plaso
    https://github.com/WithSecureLabs/chainsaw
    https://github.com/Yamato-Security/hayabusa
    https://github.com/LDO-CERT/orochi
    https://www.fox-it.com/nl-en/dissect/

    Instagram: https://www.instagram.com/uhkametsa/
    Linkedin: https://www.linkedin.com/company/uhkametsa/