Shows
Uhkametsä(Teko)älyvapaata kesäkeskusteluaKeskustelemme tällä kertaa tekoälyn hyödyntämisestä organisaation kyberturvaamiseen. Jakso koostuu lähinnä omista ajatuksistamme miten tekoälyä voisi hyödyntää, mutta valmiita ratkaisuja emme tarjoa. Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/2025-07-201h 13UhkametsäUhkametsän APT-uutiset ja Tuo Oma Haavoittuva AjurisiTällä kertaa Uhkametsä keskittyy kyberiin ja jaksossa otetaan katsaus kahteen APT ryhmään ja myöskin BYOVD -tekniikkaan. Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/2025-05-2558 minUhkametsäHöpöttelyä forensiikasta ja viimeaikaisista hyökkäyksistä Brittien vähittäiskaupan sektoriinJaksossa jutustellaan Sectop rotasta ja IDAT laturista tutkinnan näkökulmasta ja myöskin viime aikaisista hyökkäyksistä jotka ovat kohdistuneet muun muassa M&S:n. Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/2025-05-041h 03UhkametsäKlikkien korjausta ja oraakkeleitaJakson kuulumiset menee Jounin tekoälykiemuroiden parissa ja kyberosio jakautuu kahtia clickfix nimisen haitakkeen ja oraakkelin potentiaalisen tietomurron parissa. Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/2025-03-301h 03UhkametsäKuulumisia ja kokemuksia DFIR tutkinnan haasteistaUhkametsän jaksot jatkuu nyt myös Podcastina! Pääpointti on Youtuben puolella mutta päätimme myös jatkaa jaksojen julkaisua podcast-muodossa kun tästä tuli myös toiveita.Tällä kertaa paljon kuulumisia sekä keskustelua DFIR-tutkintojen aikana havaitusta haasteista joita me olemme kohdanneet. Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/2025-03-021h 08UhkametsäHeipat Uhkametsältä!Ilman sen kummempia kaunisteluja, Uhkametsän taru ainakin podcastin formaatissa on ohitse. Kuuntele lyhyt jakso, jossa kerromme lisää tästä päätöksestä. Kiitos kaikille kuulijoille Uhkametsän noin kahden vuoden taipaleen ajalta.Tulemme jatkossakin tekemään sisältöä, mutta enemmän Youtuben puolelle. Tämän päätöksen syitä avaamme myös jaksossa. Linkki Youtubeen: https://www.youtube.com/@ThreatForest Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/2024-07-0914 minUhkametsäSalamyhkäiset varastajatLiity seuraamme, kun selvitämme tietovarkaiden kehitystä ja tarkastelemme kahta tuoretta tietovarasta Fickle Stealeria ja Medusa Stealeria. Rust-kielellä kirjoitettu Fickle Stealer käyttää hämäystä ja salaista viestintää kohdistuakseen laajaan valikoimaan arkaluonteisia tietoja, henkilökohtaisista identiteeteistä kryptovaluuttalompakoihin. Medusa Stealer hyökkää ensisijaisesti Windows-järjestelmiin, varastaen verkkosalasanoja ja kryptolompakoita edistyneillä tekniikoilla.Teemme katsauksen tutkintaprosesseihin, joita käytetään näiden haitallisten työkalujen analysointiin, sekä metsästykseen. Käsittelemme myös kuulijapalautetta, sekä vihjaamme tulevista tapahtumista. Pysy kyberuhkien edellä kanssamme! Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/2024-06-3046 minUhkametsäPelastusoperaatio: Matin Nakki -saagaPALAUTEKYSELY JAKSOSTA JA YLEISESTI UHKAMETSÄSTÄ: https://qup4621yg.supersurvey.comMitä tekisit, jos yrityksesi joutuisi yhtäkkiä yhden maailman pahamaineisimman uhkaryhmän saartamaksi? Tässä jaksossa kerrotaan hermoja raastavasta koettelemuksesta, jonka rakastettu suomalainen makkarayritys Matin Nakki Oy koki joutuessaan kehittyneen kyberhyökkäyksen kohteeksi Moonstone Sleetin toimesta vuonna 2024. Liity seuraamme, kun seuraamme IT-päällikkö Jaria ja hänen tiimiään heidän tehdessään raskaita päätöksiä ja valvoessaan öitä yrittäessään saada järjestelmänsä takaisin hallintaansa vakavan kiristyshaittaohjelmauhan keskellä. Todista dramaattisia hetkiä, kun he tasapainottelevat lunnaiden maksamisen ja Kyberturvallisuuskeskuksen ohjeiden noudattamisen välillä.Tutustu kyberhyökkäyst...2024-06-1649 minUhkametsä49: Hypoteesin luomisen tuskaTänään metsällä puhutaan muutamista eri aiheista, joista eniten aikaa vietetään hypoteesin luomisen tuskan parissa. Käymme siis läpi ajatuksia miten luoda uhkametsästys hypoteeseja, ehkä eniten suunnattuna aloitteleville metsästäjille. Kokeneet metsästäjät eivät tästä välttämättä kauheasti koosta, mutta ehkäpä jotain hyviä vinkkejä voi tarttua teillekin. Samalla mietitään voiko GenAi auttaa hypoteesin luomisen kanssa. Tässä listaa päivän aiheista:Uhkametsästys ja hypoteesien luomisen vaikeusPohjois-Korealaisen uhkatoimijan epätavalliset toimintatavatArc selaimen laukaisu Windows alustalla aiheutti hämminkiä.Operation EndgameKasperskyn IR raportin perkaustaLuottosuhteiden hyväksikäyttö (supply chainit)Läht...2024-06-021h 59Uhkametsä48: Miltä hämähäkki kuulostaa?Tässä jaksossa Uhkametsä uudistuu hieman ja tuomme uusia eläinaiheisia ääniä jaksoon. Tarkkakuuloisimmat saattavatkin tunnistaa muutaman tutun eläimen jakson aikana!Jaksossa käsitellään mm. MITREen kohdistunutta hyökkäystä, identiteetteihin kohdistuvia uhkia ja näiden metsästystä ja tuttuun tapaan myös huonoja uutisia laidasta laitaan.Lähdeluettelo:Juuson esitys Elisan kyberturvailtapäivässä: https://cloud.viestinta.elisa.fi/kyberturva-tallenne MITREen kohdistunut hyökkäys: https://medium.com/mitre-engenuity/advanced-cyber-threats-impact-even-the-most-prepared-56444e980dc8 MITRE hyökkäyksen tekninen läpikäynti: https://medium.com/mitre-engenuity/technical-deep-dive-understanding-the-anatomy-of-a-cyber-intrusion-080bddc679f3 MITRE Attack Flow...2024-05-191h 45Uhkametsä47: Majuri Poikkeama ja eläinystävätTällä kertaa metsällä puhutaan ensin Uhkametsän ominta omaa, eli käytänteitä! Fear not, ainakin puhumme sentään ensivasteen, eli Incident Responsen, käytännöistä ja enemmänkin siitä, että millaisia rooleja Majuri Poikkeamassa voi olla. Toki myös muutenkin viitataan käytäteisiin näiden roolien pohjalta. Tästä siirrytään kätevästi sitten huonoihin uutisiin jossa mm hienoa nallea, Lazaruksen rottaa ja myöskin hieman asiaa identiteettiä koskevasta uhkametsästyksestä!Lähteet:https://www.microsoft.com/en-us/security/blog/2023/12/11/new-microsoft-incident-response-team-guide-shares-best-practices-for-security-teams-and-leaders/https://www.youtube.com/watch?v=0M55onu7mVIhttps://thehackernews.co...2024-05-052h 25Uhkametsä46: Meillä on teille huonoja uutisiaTässä jaksossa käydään vähän rästejä läpi ja käsitellään 12 huonoa uutista! Tämä jakso onkin varmasti kaikille Uhkametsän huonojen uutisten faneille mieleinen! Käydään läpi Sandwormia (kahteen kertaan), uusia lastaajia, haavoittuvuuksia sekä Windowsin tuntemattomampia ominaisuuksia. Tervetuloa kuulolle!Jakson lähdemateriaali enemmän tai vähemmän järjestyksessä:Mandiantin Sandworm raportti: https://services.google.com/fh/files/misc/apt44-unearthing-sandworm.pdfPalo Alto SSL VPN haavoittuvuus: https://unit42.paloaltonetworks.com/cve-2024-3400/#post-133365-_vgezw6a4uezPalo Alto SSL VPN osa 2: https...2024-04-211h 49Uhkametsä45: Seitsemän pientä hakkeriaTällä kertaa Uhkametsällä puhutaan Kiinan valtion suorittamista kyberoperaatioista muita maita kohtaan. Jaksossa puhutaan siis APT31:n touhuista joka on liipannut läheisesti myös Suomea. Jakson perustana toimii Yhdysvaltain syyte seitsemää henkilöä vastaan jotka ovat syytteen mukaan olleet osallisina Kiinan suorittamissa operaatioissa.Eli kyseessä on Juuson terminologian mukaan jälleenkin Teemajakso! Lähteet:https://www.justice.gov/opa/media/1345141/dl?inlinehttps://home.treasury.gov/news/press-releases/jy2205https://www.justice.gov/opa/pr/seven-hackers-associated-chinese-government-charged-computer-intrusions-targeting-perceivedhttps://yle.fi/a/74-20081005https://www.is.fi/digitoday/tietoturva/art-2000010319962.htmlhttps://ww...2024-04-071h 39Uhkametsä44: Pienet varkaatTässä jaksossa käydään vähän kevyemmin viime aikaisia uhkia läpi! Tällä kertaa juontajakaksikkoa puhututtaa TinyTurla sekä Strela infostealer. Käydään näistä läpi tuttuun tapaan hunttaus ideoita sekä päivitellään huonot uutiset. Eräässä suositussa pelissä ollut kenties jotain outoa kesken turnauksen?Tervetuloa kuulolle!Jakson lähdeluettelo:https://www.bleepingcomputer.com/news/security/new-strelastealer-malware-steals-your-outlook-thunderbird-accounts/#google_vignettehttps://threathunt.blog/dll-image-loads-from-suspicious-locations-by-regsvr32-exe-rundll32-exe/https://www.bleepingcomputer.com/news/security/apex-legends-players-worried-about-rce-flaw-after-algs-hacks/https://blog.talosintelligence.com/tinyturla-full-kill-chain/ Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www...2024-03-241h 01Uhkametsä43: Metsään meniTämän päivän jaksossa puhutaan siitä kun menee metsään, eli ransomware operaattoreista, heidän yleisimmin käytetyistä taktiikoista, tekniikoista ja toimintatavoista. Lisäksi puhutaan siitä, että miten näitä erilaisia tekniikoita voidaan potentiaalisesti metsästää, havaita tai estää. Luvassa uhkiksen toistaiseksi pisin jakso ja paljon keskustelua ransomwaresta.Lähteet:https://www.wired.com/story/alphv-change-healthcare-ransomware-payment/ https://adsecurity.org/?p=3458 https://hstechdocs.helpsystems.com/manuals/cobaltstrike/current/userguide/content/topics/welcome_main.htm https://any.run/malware-trends/exela Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/2024-03-102h 07Uhkametsä42: Laiva on lastattuLaiva on lastattu tällä kertaa Pokemoneilla ja toimitusjohtajamyrkytyksillä. Tässä jaksossa kertaa Uhkis käsittelee kahta laturia / lastaajaa ja näiden uusia kujeita. Käydään läpi myös konkreettiset ideat miten voidaan huntata sekä havaita ympäristöstä ja annetaan myös suojautumisvinkkejä pohdittavaksi.Tervetuloa kuuntelemaan!Lähteet:Elasticin Pikabot artikkeli: https://www.elastic.co/security-labs/pikabot-i-choose-youZScalerin Pikabot artikkeli: https://www.zscaler.com/blogs/security-research/d-evolution-pikabotCryptlaemuksen twiitti Pikabot kampanjasta: https://twitter.com/Cryptolaemus1/status/1755655639370514595SocGholish artikkeli: https://www.reliaquest.com/blog/new-python-socgholish-infection-chain/FakeUpdates IOC: https://threatfox.a...2024-02-251h 53Uhkametsä41: Kiristyskimara ja arvailua tekoälystäTämän kertaisessa jaksossa puhellaan ransuttajien rahulioperaatioista vuodelta 2023, sekä arvaillaan tekoälyn tulevaisuutta puolustavalla puolella. Lisäksi jutellaan Kiinalaisista uhkatoimijoista huonojen uutisten muodossa.Lähteet:https://www.chainalysis.com/blog/ransomware-2024/ https://www.paloaltonetworks.com/blog/2024/02/the-power-of-ai-in-cybersecurity/ https://www.bleepingcomputer.com/news/security/chinese-hackers-infect-dutch-military-network-with-malware/ https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/2024-02-111h 44Uhkametsä40: Julkinaamainen tietomurtotutkijaTässä jaksossa keskustellaan Juuson DFIR taipaleesta n. vuoden kohdalla sekä pohditaan public facing vai julkinaamaisten laitteiden turvallisuudesta. Tuttuun tapaa juttua riittää ja tästä tulikin yksi pisimpiä jaksoja Uhkiksen historiassa!Tehdään myös katsaus huonoissa uutisissa Applen tietoturvakontrolleihin ja käydään läpi Akiran viimeisimmät edesottamukset. Tervetuloa kuuntelemaan!Jakson lähdemateriaali:https://www.sentinelone.com/blog/the-many-faces-of-undetected-macos-infostealers-keysteal-atomic-cherrypie-continue-to-adapt/https://support.apple.com/guide/security/protecting-against-malware-sec469d47bd8/webhttps://securityaffairs.com/156951/security/ivanti-critical-epm-flaw.htmlhttps://www.theregister.com/2024/01/22/ivanti_and_juniper_networks_criics_unhappy/https://www.bleepingcomput...2024-01-281h 54Uhkametsä39: HopeaRottaJaksossa selviää onko HopeaRotta uusi RAP-artisti vaiko jotain muuta. Lisäksi Uhkametsä käy läpi viime vuoden jaksoja ja juontajat esittelevät itsensä ja uratarinansa. Päädyimme kertomaan taustatarinaa itsestämme sikäli jos meillä on uusia kuulijoita jotka eivät ole alkupään jaksoja kuunelleet, jossa mahdollisesti käytiin läpi esittelyjä.Jaksossa myös puidaan, että johtavatko Juuson nykyiset harrastukset rikolliseen uraan.Ainiin, muistakaa Uhkiksen uusi IG:https://www.instagram.com/uhkametsa/Lähteet:https://attack.mitre.org/groups/G0034/https://www.reuters.com/world/europe/russian-hackers-were-inside-ukraine-telecoms-giant-months-cyber-spy-chief-2024-01-04/https://ww...2024-01-141h 35Uhkametsä38: Uudenvuoden spesiaaliJuhlitaan Uhkametsällä uutta vuotta, keskustellaan loadereista ja Akira kiristyshaittaohjelmajengistä. Maistellaan myös koko jakso uuden vuoden herkkuja. Tervetuloa kuuntelemaan!https://blog.sekoia.io/darkgate-internals/https://www.trellix.com/about/newsroom/stories/research/the-continued-evolution-of-the-darkgate-malware-as-a-service/https://d01a.github.io/pikabot/https://www.malwarebytes.com/blog/threat-intelligence/2023/12/pikabot-distributed-via-malicious-adshttps://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/kyberturvallisuuskeskuksen-viikkokatsaus-522023https://news.sophos.com/en-us/2023/12/21/akira-again-the-ransomware-that-keeps-on-taking/https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-akirahttps://news.sophos.com/en-us/2023/05/09/akira-ransomware-is-bringin-88-back/https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/kyberturvallisuuskeskuksen-viikkokatsaus-522023https://www.virustotal.com/gui...2023-12-311h 59Uhkametsä37: UhkametsälläTällä kertaa mennään aihealueeseen joka on meidän sydäntä lähellä. Käsittelemme uhkametsästystä koko jakson verran ja ammennamme hieman sitä mitä itse olemme tehneet. Luvassa saattaa olla myös hieman ränttäämistä. Sori siitä.Lähteet:https://www.britannica.com/science/scientific-hypothesishttps://www.splunk.com/en_us/blog/security/peak-threat-hunting-framework.html Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/2023-12-171h 36Uhkametsä36: LukkoseppäUhkametsällä suomennetaan taas termejä oikein urakalla, käydään kuulumisia tuttuun tapaan läpi pari tuntia sekä puhutaan vähän kyberistä. Aiheina tällä kertaa viranomaisyhteistyö, kriittiseen infrastruktuuriin kohdistuvat hyökkäykset ja uravinkkejä! Tervetuloa kuulolle.Lähdeluettelo:https://www.europol.europa.eu/media-press/newsroom/news/international-collaboration-leads-to-dismantlement-of-ransomware-group-in-ukraine-amidst-ongoing-warhttps://cyberpolice.gov.ua/news/ponad--milyardy-gryven-zbytkiv-kiberpolicziya-ta-slidchi-naczpolu-vykryly-xakeriv-yaki-atakuvaly-providni-svitovi-kompaniyi-1780/https://twitter.com/BushidoToken/status/1729467756699857088https://www.microsoft.com/en-us/security/blog/2022/05/09/ransomware-as-a-service-understanding-the-cybercrime-gig-economy-and-how-to-protect-yourself/#DEV-0237https://media.kasperskycontenthub.com/wp-content/uploads/sites/100/2020/05/12075747/KSN-article_Ransomware-in-2018-2020-1.pdfhttps://news.microsoft.com/source/features/digital-transformation/hackers-hit-norsk-hydro-ransomware-company-responded-transparency/https://success.trendmicro...2023-12-031h 39Uhkametsä35: Tanskan energiasektori kohteenaTämän päivän jaksossa jutellaan taannoisesta hyökkäyksestä Tanskan Energiasektoria vastaan. Lisäksi muutama huono uutinen ja toivottavasti viimeistä kertaa vähään aikaan Octo Spiderin kuulumisia.Lähteet:https://sektorcert.dk/wp-content/uploads/2023/11/SektorCERT-The-attack-against-Danish-critical-infrastructure-TLP-CLEAR.pdf https://www.fortinet.com/content/dam/fortinet/assets/threat-reports/rhysida-ransomware-intrusion.pdf https://www.securityweek.com/ransomware-group-files-sec-complaint-over-victims-failure-to-disclose-data-breach/ Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/2023-11-191h 33Uhkametsä34: Antihalloween jakso ja myrskyisät hämähäkitTässä jaksossa Uhkametsällä tarkastellaan uudehkoa uhkatoimijaa Octo Tempest / Scattered Spider / UNC3944. Juontajat käyvät läpi uhkatoimijan kehittymistä sekä heidän käyttämiään taktiikoita, tekniikoita, sekä toimenpiteitä. Jakson lähdeluettelo:https://www.microsoft.com/en-us/security/blog/2023/10/25/octo-tempest-crosses-boundaries-to-facilitate-extortion-encryption-and-destruction/ https://www.crowdstrike.com/adversaries/scattered-spider/ https://www.is.fi/digitoday/tietoturva/art-2000009070262.html https://darknetdiaries.com/transcript/112/https://www.cisco.com/c/en/us/support/docs/csa/cisco-sa-iosxe-webui-rce-uk8BXcUD.html https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/ https://bazaar.abuse.ch/browse/tag/pikabot/ https://threatfox.abuse.ch/browse/ma...2023-11-051h 34Uhkametsä33: Tekninen Incident Response tutkintaTällä kertaa Uhkametsällä puhutaan teknisistä incident response tutkinnan vaiheista. Aihe on pintaraapaisu ja aika ei yhdessä jaksossa riitä käsittelemään kuin melko pintapuolisesti aihealuetta. Tämä on hieman teknisempi jatke jaksolle 26: Poikkeamanhallinta ja tutkinta.Lähteet:https://zeltser.com/security-incident-questionnaire-cheat-sheet/https://www.ietf.org/rfc/rfc3227.txthttps://github.com/ufrisk/MemProcFShttps://github.com/volatilityfoundation/volatility3https://github.com/volatilityfoundation/volatilityhttps://volatility3.readthedocs.io/en/stable/volatility3.plugins.htmlhttps://github.com/VirusTotal/yarahttps://github.com/DidierStevens/DidierStevensSuite/blob/master/1768.pyhttps://www.youtube.c...2023-10-221h 44Uhkametsä32: Paha palvelinTässä jaksossa keskustellaan business email compromise (BEC) ilmiöstä, ihmetellään nimeämiskäytäntöjä uhkatoimijoiden toimesta sekä valitaan ikäkriisiin sopivia hoitokeinoja. Tervetuloa kuuntelemaan!Lähdeluettelo:https://www.microsoft.com/en-us/security/blog/2023/06/08/detecting-and-mitigating-a-multi-stage-aitm-phishing-and-bec-campaign/ https://tietosuoja.fi/office-365https://learn.microsoft.com/en-us/microsoft-365/security/office-365-security/responding-to-a-compromised-email-account?view=o365-worldwide https://blog.talosintelligence.com/qakbot-affiliated-actors-distribute-ransom/ https://securityaffairs.com/151862/breaking-news/exfiltration-infrastructure.html https://serverfault.com/questions/1137030/ftp-error-530-user-cannot-log-in https://www.wiz.io/blog/cve-2023-4863-and-cve-2023-5217-exploited-in-the-wild https://www.bleepingcomputer.com/news/security/evilproxy-uses-indeedcom-open-redirect-for-microsoft-365-phishing/...2023-10-081h 13Uhkametsä31: Kasinot kurimuksessaJaksossa puhutaan tällä kertaa kahdesta kasinoryöstöstä, Caesar Entertainmentin ja MGM:n tapauksista.Lähdeluettelo:https://www.securityweek.com/caesars-confirms-ransomware-hack-stolen-loyalty-program-database/ https://cybernews.com/editorial/mgm-caesars-explained-scattered-spider/ https://www.quorumcyber.com/threat-actors/scattered-spider-threat-actor-profile/ https://www.securityweek.com/two-vegas-casinos-fell-victim-to-cyberattacks-shattering-the-image-of-impenetrable-casino-security/ https://www.mandiant.com/resources/blog/unc3944-sms-phishing-sim-swapping-ransomware https://www.theseus.fi/handle/10024/806660 https://krebsonsecurity.com/2022/01/who-wrote-the-alphv-blackcat-ransomware-strain/ https://www.bleepingcomputer.com/news/security/blackcat-alphv-ransomware-linked-to-blackmatter-darkside-gangs/ https://www.microsoft.com/en-us/security/blog/2022/06/13/the-many-lives-of-blackcat-ransomware/ https://www.reddit.com/r/cybersecurity/comments/16iubsc/alphv_blackcat_just_released_an_annoucement_about/?share_id=93xIENEc...2023-09-241h 11Uhkametsä30: Ankan metsästys sekä jalokivivarkaatTässä jaksossa käsitellään operaatio Duck Huntia, keskustellaan avoimen lähdekoodin infostealerista ja taas arvostellaan eri elintarvikkeita. Tervetuloa metsälle!Lähdeluettelo:https://www.fbi.gov/news/stories/fbi-partners-dismantle-qakbot-infrastructure-in-multinational-cyber-takedownhttps://krebsonsecurity.com/2023/08/u-s-hacks-qakbot-quietly-removes-botnet-infections/https://www.reliaquest.com/blog/the-3-malware-loaders-behind-80-of-incidents/https://success.trendmicro.com/dcx/s/solution/000283381?language=en_UShttps://www.darkreading.com/attacks-breaches/russia-fancy-bear-apt-ukrainian-energy-facilityhttps://www.hackread.com/agent-tesla-variant-excel-exploit-windows-pc/https://www.darkreading.com/threat-intelligence/cybercriminals-team-up-upgrade-sapphirestealer-malwarehttps://thehackernews.com/2023/08/darkgate-malware-activity-spikes-as.htmlhttps://cyble.com/blog/bumblebee-returns-with-new-infection-technique/https://twitter.com/RansomwareNewshttps://lots-project.com/2023-09-101h 15Uhkametsä29: Alkusyksyn ransu-uutisetRansukoira taas irti!Jaksossa käsitellään vuoden 2023 ransutuksia ja alkusyksyn ransu-uutisia. Lähteet:https://www.securityweek.com/rapid7-says-roi-for-ransomware-remains-high-zero-day-usage-expands/ https://socradar.io/threat-actor-profile-bianlian-the-shape-shifting-ransomware-group/ https://www.malwarebytes.com/blog/threat-intelligence/2023/08/ransomware-review-august-2023 https://www.securityweek.com/evidence-suggests-ransomware-group-knew-about-moveit-zero-day-since-2021/ https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-august-18th-2023-lockbit-on-thin-ice/ https://www.bleepingcomputer.com/news/security/monti-ransomware-targets-vmware-esxi-servers-with-new-linux-locker/ https://www.bleepingcomputer.com/news/security/linux-version-of-abyss-locker-ransomware-targets-vmware-esxi-servers/ https://www.bleepingcomputer.com/news/security/cuba-ransomware-uses-veeam-exploit-against-critical-us-organizations/ https://labs.withsecure.com/publications/fin7-target-veeam-servers https://www.coresecurity.com/core-labs/open-source-tools/impacket https://thehackernews.com/2023/08/new-blackcat-ransomware-variant-adopts.html https...2023-08-271h 14Uhkametsä28: GRU & MinionsTässä jaksossa käsitellään uhkatoimijoiden aktiivisesti käyttämää EvilProxya ja perehdytään GRU kyberoperaatioiden disruptiiviseen toimintaan. Uhkametsä täyttää myös 1 vuoden ja haluamme kiittää kaikkia kuuntelijoita jotka ovat olleet matkalla mukana!Lähdeluettelo:https://www.mandiant.com/resources/blog/gru-disruptive-playbookhttps://supo.fi/en/apt-operationshttps://learn.microsoft.com/en-us/windows/security/operating-system-security/network-security/windows-firewall/create-a-group-policy-objecthttps://www.standard.co.uk/tech/who-are-anonymous-sudan-hacker-group-behind-microsoft-outage-b1088879.htmlhttps://www.scmagazine.com/news/gootloader-seo-watering-hole-malware-targets-law-firmshttps://securityaffairs.com/149405/hacking/statc-stealer-info-stealer.htmlhttps://www.bleepingcomputer.com/news/security/new-evilproxy-service-lets-all-hackers-use-advanced-phishing-tactics/https://securityaffairs.com/135318/cyber-cr...2023-08-131h 09Uhkametsä27: Vieraita metsälläUhkametsän historian toinen haastattelujakso! Tällä kertaa haastateltavina ovat kyberalalla jo pitkään toimineet Antti Kurittu ja Niklas Särökaari. Antti ja Niklas ovat tuttuja mm. edellisestä Disobeysta jossa molemmat pitivät loistavat puheenvuorot. Uhkametsä haluaakin antaa erityiskiitoksen molemmille haastateltaville osallistumisesta! Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/2023-07-301h 48Uhkametsä26: Poikkeamanhallinta ja tutkintaTässä jaksossa keskustellaan siitä, mitä kaikkea kuuluu tyypilliseen incident response tutkintaan. Juontajat lisäävät myös omia kokemuksiaan tuomaan käytännön läheisiä esimerkkejä tutkinnan elinkaaren eri vaiheissa. Tervetuloa metsälle!Jaksolle seuraava osa julkaistaan myöhemmin syksyllä 2023.Lähteet:https://www.sans.org/white-papers/1516/https://twitter.com/ido_cohen2/status/1678431236912455682https://www.trendmicro.com/en_us/research/23/c/emotet-returns-now-adopts-binary-padding-for-evasion.html Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/2023-07-161h 49Uhkametsä25: Cl0pHistamiinia mukaillen, Klip Cl0p Klip Cl0P hevo-i-nen on pop! Uhkiksella jutustelua MoveIt haavoittuvuuden myötä vahvasti julkisuuteen nousseesta Cl0p kiristyshaittaohjelmasta. Lisäksi muutama ajankohtainen uhka.Lähteet:https://flashpoint.io/blog/clop-ransomware-moveit-vulnerability/ https://blogs.blackberry.com/en/2023/06/clop-ransomware-and-moveit-cyberattack https://therecord.media/shell-impacted-in-clop-ransomware-attack https://www.theregister.com/2023/06/15/clop_broke_into_the_doe/ https://thecyberexpress.com/cl0p-lists-more-moveit-hack-victims/ https://cybernews.com/security/clop-victims-pwc-ernst-young-sony-moveit-hack/ https://blogs.infoblox.com/security/clop-ransomware-demands-20-million-ransom/ https://www.trendmicro.com/vinfo/tr/security/news/cybercrime-and-digital-threats/ransomware-double-extortion-and-beyond-revil-clop-and-conti https://www.trendmicro.com/vinfo/us/security/news...2023-07-021h 24Uhkametsä24: TietoturvavalvomoUhkametsällä keskustellaan hieman erilaisesta aiheesta, tietoturvavalvomosta. Juontajat pohtivat miten koko homma toimii ja miltä Jounin tekemä SOC näyttäisi. Tervetuloa kuuntelemaan!Lähteet:https://www.mitre.org/news-insights/publication/11-strategies-world-class-cybersecurity-operations-center Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/2023-06-181h 32Uhkametsä23: Black Basta ja Iranilaisten uudet kujeetUhkametsällä palataan kiristyshaittaohjelmien pariin Black Bastan muodossa ja lisäksi jutustellaan Iranilaisten uusimmista kujeista.Lähteet:https://www.trendmicro.com/vinfo/gb/security/news/ransomware-spotlight/ransomware-spotlight-blackbasta https://www.cybereason.com/blog/cybereason-vs.-black-basta-ransomware https://www.coindesk.com/tech/2023/02/23/ransomware-group-conti-has-re-surfaced-under-a-new-name-trm-labs/ https://thehackernews.com/2023/03/the-prolificacy-of-lockbit-ransomware.html https://www.bleepingcomputer.com/news/security/us-govt-contractor-abb-confirms-ransomware-attack-data-theft/ https://www.kroll.com/en/insights/publications/cyber/black-basta-technical-analysis https://labs.withsecure.com/publications/prelude-to-ransomware-systembc https://securityaffairs.com/146690/apt/powerexchange-backdoor-iran.html https://www.bleepingcomputer.com/news/security/iranian-hackers-use-new-moneybird-ransomware-to-attack-israeli-orgs/ https://www.securityweek.com/iranian-hackers-target-middle-east-entities-with-new-windows-kernel-driver/ https://ecly...2023-06-041h 26Uhkametsä22: Turla Uhkametsällä perehdytään pahamaineiseen Turla APT ryhmään perusteellisesti. Jaksossa käsitellään Turlan historiaa nykypäivään asti. Tarkastetaan myös lopuksi viimeaikaiset trendit haittaohjelmissa.Lähteet:https://www.industrialcybersecuritypulse.com/threats-vulnerabilities/throwback-attack-russian-apt-group-turla-has-hit-45-countries-since-2004/https://attack.mitre.org/groups/G0010/https://securelist.com/the-epic-turla-operation/65545/https://exatrack.com/public/Tricephalic_Hellkeeper.pdfhttps://www.welivesecurity.com/wp-content/uploads/2020/05/ESET_Turla_ComRAT.pdfhttps://www.cfr.org/cyber-operations/agentbtzhttps://www.latimes.com/archives/la-xpm-2008-nov-28-na-cyberattack28-story.htmlhttps://paper.bobylive.com/Security/APT_Report/A_Threat_Actor_Encyclopedia.p...2023-05-211h 19Uhkametsä21: Kohopallolaukaus & PaperihaavaTänään metsällä jutustellaan Kohopallolaukausesta ja paperihaavassa olevasta haavasta (haavaception!). Lisäksi kokeillaan jotain uutta.Lähteet:https://www.elastic.co/security-labs/elastic-security-labs-discovers-lobshot-malwarehttps://www.trendmicro.com/en_us/research/23/d/update-now-papercut-vulnerability-cve-2023-27350-under-active-ex.htmlhttps://www.helpnetsecurity.com/2023/04/25/cve-2023-27350-poc/https://www.huntress.com/blog/critical-vulnerabilities-in-papercut-print-management-software Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/2023-05-071h 13Uhkametsä20: HiekkamyrskyUhkametsällä perehdytään alati muuttuvaan initial access loader kentään (ei tule varmaan kenellekkään yllätyksenä), ihmetellään Ben & Jerry jäätelömakuista valtiollista toimijaa, unohtamatta Jounin grillikauden avausta!Jakson lähteet:Qakbot: https://www.malwarebytes.com/blog/news/2023/04/qbot-changes-tactic-remains-a-menace-to-business-networksBumbleBee: https://www.secureworks.com/blog/bumblebee-malware-distributed-via-trojanized-installer-downloadsInfostealer ecosystem Sekoia: https://blog.sekoia.io/overview-of-the-russian-speaking-infostealer-ecosystem-the-distribution/AuKill: https://news.sophos.com/en-us/2023/04/19/aukill-edr-killer-malware-abuses-process-explorer-driver/Mint Sandstorm: https://www.microsoft.com/en-us/security/blog/2023/04/18/nation-state-threat-actor-mint-sandstorm-refines-tradecraft-to-attack-high-value-targets/Microsoft taksonomia: https://www.microsoft.com/en-us/security/blog/2023/04/18/microsoft-shifts-to-a-new-threat-actor-naming-taxonomy/ Instagram: https://www.instagram.com/uhkametsa/Linked...2023-04-2351 minUhkametsä19: Ransukoirat ja itsepurkautuva arkistoMetsällä pitkästä aikaa juttua ransuhauvasta, unohtamatta 3CX toimitusketju-murtoa ja itsepurkautuvia arkistoja. Miten muuten lausutaan Rorschach?Lähteet:https://www.huntress.com/blog/3cx-voip-software-compromise-supply-chain-threatshttps://twitter.com/fr0gger_/status/1641668394155151366/photo/1https://securityaffairs.com/144425/cyber-crime/rorschach-ransomware-fast-encryption.htmlhttps://therecord.media/cobalt-strike-abuse-microsoft-fortra-health-isachttps://www.bleepingcomputer.com/news/security/winrar-sfx-archives-can-run-powershell-without-being-detected/https://www.crowdstrike.com/blog/self-extracting-archives-decoy-files-and-their-hidden-payloads/ Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/2023-04-0948 minUhkametsä18: Nimetön hanhiUhkametsällä käsitellään tällä erää uusia työkaluja, arvioidaan miten kinettisiä uhkia voi metsästää sekä katsaus uusimpiin uhkiin joita Red Canary on raportissaan maininnut. Fiilistellään myös tietokonepelejä!Lähteet:https://threathunt.blog/analysis-of-the-current-malware-icedid/https://arstechnica.com/gadgets/2023/03/journalist-plugs-in-unknown-usb-drive-mailed-to-him-it-exploded-in-his-face/https://www.bleepingcomputer.com/news/security/emotet-malware-now-distributed-in-microsoft-onenote-files-to-evade-defenses/https://twitter.com/DTCERT/status/1639281735593590784https://www.cisa.gov/news-events/alerts/2023/03/23/untitled-goose-tool-aids-hunt-and-incident-response-azure-azure-active-directory-and-microsoft-365https://www.github.com/cisagov/untitledgoosetoolhttps://www.kqlsearch.comhttps://resource.redcanary.com/rs/003-YRU-314/images/2023_ThreatDetectionReport_RedCanary.pdf Instagram: https://www.instagram.com/uh...2023-03-2647 minUhkametsä17: Mustaa jokapuolellaUhkametsällä on musta päivä, mustan lotuksen ja mustan mamban myötä. Lisäksi puhutaan muutama sana AI:sta, Jounin uusimmasta blogipostauksesta sekä muista kuulumisista.Lähteet:https://www.darkrelay.com/post/windows-11-s-secure-boot-defeated-by-blacklotus-malware-cve-2022-21894https://www.darkreading.com/endpoint/ai-blackmamba-keylogging-edr-securityhttps://www.bleepingcomputer.com/news/security/emotet-malware-attacks-return-after-three-month-break/https://www.bleepingcomputer.com/news/security/proof-of-concept-released-for-critical-microsoft-word-rce-bug/ Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/2023-03-1250 minUhkametsä16: Havaitsemisinsinöörin kovat lantitUhkametsällä paljastetaan, kuinka Disobeyssa nähty Threat Hunting Basics workshopin data tuotettiin, keskustellaan hieman urapoluista blue teamissa ja käsitellään ajankohtaisia haittaohjelmia. Juontajat hämmästelevät myös uhkatoimijoiden kekseliäisyyttä EVTX tiedostojen kanssa!Lähteet:- https://kostas-ts.medium.com/threat-hunting-series-detection-engineering-vs-threat-hunting-f12f3a72185f- https://techcommunity.microsoft.com/t5/exchange-team-blog/update-on-the-exchange-server-antivirus-exclusions/ba-p/3751464- https://www.bleepingcomputer.com/news/security/hardbit-ransomware-wants-insurance-details-to-set-the-perfect-price/- https://www.reliaquest.com/blog/socgholish-fakeupdates/- https://github.com/tsale/Sigma_rules/blob/main/Threat%20Hunting%20Queries/exec_script_from_zip.yml- https://www.bleepingc...2023-02-2651 minUhkametsä15: Lataajien kavalkaadiMetsällä tänään taas kerran loaderien paljoutta qakbotista gootkittiin. Lisäksi jutellaan hieman maailmaa ravisuttaneesta ESXiArg(h)sta ja Juuson iltalukemisista. Lähteet:https://twitter.com/MaD_c4t/status/1623414579681435648https://urlhaus.abuse.ch/browse/tag/qakbot/https://news.sophos.com/en-us/2023/02/06/qakbot-onenote-attacks/https://www.bleepingcomputer.com/news/security/new-esxiargs-ransomware-version-prevents-vmware-esxi-recovery/https://www.darkreading.com/vulnerabilities-threats/cisa-releases-recovery-script-for-victims-of-esxiargs-ransomwarehttps://thehackernews.com/2023/02/gootkit-malware-adopts-new-tactics-to.html Instagram: https://www.instagram.com/uhkametsa/Linkedin: https://www.linkedin.com/company/uhkametsa/2023-02-1248 minUhkametsä14: LepakkolastaajaUhkametsällä tänään käsittelyssä ennätysmäärä haittaohjelmia ja näiden kuulumisia. Haittaohjelmien lisäksi spekuloidaan myös Hive ransomware operaation "hackbackia". Juontajat myös ottavat kantaa kuntapolitiikkaan pohtiessaan kuntaliitoksia.Mikäli haluat kysyä meiltä kysymyksiä tai antaa palautetta, tavoitat meidät: Twitter: https://twitter.com/uhkametsaLinkedIn: https://fi.linkedin.com/company/uhkametsaLähteet:Batloader ja malvertising:https://www.trendmicro.com/en_us/research/23/a/batloader-malware-abuses-legitimate-tools-uses-obfuscated-javasc.htmlPY#RATION malware:https://www.bleepingcomputer.com/news/security/new-stealthy-python-rat-malware-targets-windows-in-attacks/Initial Access Loader keskustelun Twitter linkit:https://twitter.com/pr0xylife/status/1...2023-01-2949 minUhkametsä13: Pimeä vaaleanpunainen pantteriTällä kertaa metsällä taas hieman teknisempää asiaa. Metsällä keskustelua kolmannen kerran uudistuneesta Rapsberry Robinista, Lorenz groupista, Microsoftin epäonnenpäivästä sekä Dark Pink APT ryhmästä.Mikäli haluat kysyä meiltä kysymyksiä tai antaa palautetta, tavoitat meidät: Twitter: https://twitter.com/uhkametsaLinkedIn: https://fi.linkedin.com/company/uhkametsaLähteet:Raspberry robin:https://www.securityjoes.com/post/raspberry-robin-detected-itw-targeting-insurance-financial-institutes-in-europeLorenz group:https://www.bleepingcomputer.com/news/security/lorenz-ransomware-gang-plants-backdoors-to-use-months-later/Microsoft murheet:https://www.reddit.com/r/sysadmin/comments/10ar1vb/multiple_users_reporting_microsoft_apps_have/Dark pink:htt...2023-01-1548 min