Rekisteröidy 30. lokakuuta järjestettävään Microsoftin vuoden 2024 digitaalisen suojauksen raportin analysointiverkkoseminaariin.
Security Insider
Uhkatietämys ja merkitykselliset tiedot pysyäksesi askeleen edellä
Valtioiden tukemat
Iran pyrkii vaikuttamaan vuoden 2024 Yhdysvaltain presidentinvaaleihin kyberavusteisilla vaikuttamisoperaatioilla
Kyberavusteisia vaikuttamisoperaatioita, joiden kohteena on vuoden 2024 Yhdysvaltain presidentinvaalit, on jo käynnissä. Microsoft Threat Intelligence on havainnut lisääntynyttä vaikuttamista ulkomaisilta toimijoilta, joita Iran, Venäjä ja Kiina tukevat. Lue lisää siitä, miten nämä ryhmät käyttävät generatiivista tekoälyä ja muita taktiikoita manipuloidakseen yleistä mielipidettä ja kylvääkseen epäsopua.
Tuoreimmat uutiset
Uhkaavan toimijan merkitykselliset tiedot
Microsoft Threat Intelligence seuraa aktiivisesti uhkaavia toimijoita kaikessa havaitussa valtiollisessa toiminnassa, kiristysohjelmatoiminnassa ja rikollisessa toiminnassa. Nämä merkitykselliset tiedot edustavat Microsoftin uhkatutkijoiden julkisesti julkaisemaa toimintaa ja tarjoavat keskitetyn luettelon viitattujen blogien toimijaprofiileista.
Mint Sandstorm
Mint Sandstorm (aiemmin PHOSPHORUS) on Iraniin yhdistetty toimintaryhmä, joka on ollut aktiivinen vähintään vuodesta 2013.
Manatee Tempest
Manatee Tempest (aiemmin DEV-0243) on uhkaava toimija, joka on osa kiristysohjelma palveluna (RaaS) -talousjärjestelmää ja joka toimii yhdessä muiden uhkaavien toimijoiden kanssa tarjotakseen mukautettuja Cobalt Strike -latausohjelmia.
Wine tempest
Wine Tempest (ennen PARINACOTA) käyttää hyökkäyksissään tyypillisesti ihmisten ohjaamia kiristysohjelmia, useimmiten Wadhrama-kiristysohjelmaa. Se on kekseliäs ja vaihtaa taktiikkaa tarpeidensa mukaan, ja se on käyttänyt vaarannettuja koneita erilaisiin tarkoituksiin, kuten kryptovaluutan louhintaan, roskapostin lähettämiseen tai muiden hyökkäysten välittämiseen.
Smoke sandstorm
Smoke Sandstorm (aiemmin BOHRIUM/DEV-0056) vaaransi sähköpostitilejä Bahrainissa sijaitsevassa IT-integrointiyrityksessä syyskuussa 2021. Yritys työskentelee IT-integrointien parissa Bahrainin julkishallinnon asiakkaiden kanssa, jotka olivat todennäköisesti Smoke Sandstormin pääasiallinen kohde.
Storm-0530
Pohjois-Koreasta lähtöisin oleva ryhmä toimijoita, jota Microsoft seuraa nimellä Storm-0530 (aiemmin DEV-0530), on kehittänyt ja käyttänyt kiristysohjelmia hyökkäyksissä kesäkuusta 2021 lähtien.
Silk Typhoon
Vuonna 2021 Silk Typhoon (aiemmin HAFNIUM) on valtion tukema ryhmä, joka toimii Kiinassa.
Forest Blizzard
Forest Blizzard (aiemmin STRONTIUM) käyttää useita ensimmäisen käyttöoikeuden saamisen tekniikoita. Tällaisia ovat haavoittuvien verkkokäyttöisten sovellusten hyödyntäminen sekä kohdennettu verkkourkinta ja automatisoidun salasanahyökkäyksen tai TOR-verkon kautta toimivan väsytyshyökkäystyökalun käyttöönotto tunnistetietojen saamiseksi
Midnight Blizzard
Uhkaava toimija, jota Microsoft seuraa nimellä Midnight Blizzard (NOBELIUM), on Venäjältä toimiva uhkaava toimija, joka toimii Yhdysvaltain ja Yhdistyneen kuningaskunnan viranomaisten mukaan Venäjän ulkomaantiedustelun SVR:n alaisuudessa.
Volt Typhoon
Microsoftin nimellä Volt Typhoon seuraama uhkaava toimija on valtion tukema ryhmä, joka toimii Kiinassa. Volt Typhoon keskittyy vakoiluun, tietovarkauksiin ja tunnistetietojen käyttöön.
Plaid Rain
Helmikuusta 2022 lähtien Plaid Rainin (aiemmin POLONIUM) on havaittu kohdistavan hyökkäyksiä pääasiassa organisaatioihin Israelissa, keskittyen kriittiseen teollisuuteen, IT-alaan ja Israelin puolustusteollisuuteen.
Hazel Sandstorm
Hazel Sandstorm (ennen EUROPIUM) on julkisesti yhdistetty Iranin tiedustelu- ja turvallisuusministeriöön (MOIS). Microsoft arvioi erittäin luotettavasti, että 15. heinäkuuta 2022 Iranin hallituksen tukemat toimijat tekivät tuhoisan kyberhyökkäyksen Albanian hallitusta vastaan ja häiritsivät hallituksen sivustoja ja julkisia palveluja.
Cadet Blizzard
Microsoft seuraa Cadet Blizzardia (aiemmin DEV-0586) Venäjän GRU:n sponsoroima uhkaryhmä, jota Microsoft alkoi seurata tammikuun 2022 puolivälissä useissa Ukrainan valtion virastoissa tapahtuneiden häiritsevien ja tuhoisten tapahtumien jälkeen.
Pistachio Tempest
Pistachio Tempest (aiemmin DEV-0237) on ryhmä, joka liittyy vaikuttavaan kiristysohjelmien jakeluun. Microsoft on havainnut Pistachio Tempestin käyttävän erilaisia kiristysohjelmatietoja pitkällä aikavälillä ryhmän tehdessä kokeiluja uusien kiristysohjelma palveluna (RaaS) -tarjousten parissa. Tällaisia ovat esimerkiksi Ryuk, Conti Hive ja Nokoyawa sekä uusimpina Agenda ja Mindware.
Periwinkle Tempest
Periwinkle Tempest (aiemmin DEV-0193) on vastuussa eri tietojen, kuten Trickbotin, Bazaloaderin ja AnchorDNS:n, kehittämisestä, jakamisesta ja hallinnasta.
Caramel Tsunami
Caramel Tsunami (ennen SOURGUM) myy yleisesti kyberaseita, yleensä haittaohjelmia ja nollapäivähaavoittuvuutta hyödyntäviä hyökkäyksiä, osana hakkerointi-palvelupakettia, jota myydään valtion virastoille ja muille haitallisille toimijoille.
Aqua Blizzard
Aqua Blizzard (aiemmin ACTINIUM) on valtion tukema ryhmä, joka toimii Venäjältä käsin. Ukrainan viranomaiset ovat julkisesti todenneet tämän ryhmän toimivan Venäjän FSB:n alaisuudessa.
Nylon Typhoon
Nylon Typhoon (ennen NICKEL) hyödyntää korjaamattomien järjestelmien haavoittuvuuksia vaarantaakseen etäkäyttöpalvelut ja -laitteet. Onnistuneen tunkeutumisen jälkeen he ovat käyttäneet credential dumpers -ohjelmia tai varkaita saadakseen lailliset käyttäjätiedot, joita he ovat sitten käyttäneet päästäkseen käsiksi uhrien tileihin ja päästäkseen käsiksi arvokkaampiin järjestelmiin.
Crimson Sandstorm
Crimson Sandstormin (ennen CURIUM) toimijoiden on havaittu hyödyntävän fiktiivisten sosiaalisen median tilien verkostoa rakentaakseen luottamusta kohteisiin ja levittääkseen haittaohjelmia tietojen poistamiseksi.
Diamond Sleet
Microsoftin nimellä Diamond Sleet seuraama toimija on pohjoiskorealainen toimintaryhmä, joka tunnetaan hyökkäysten kohdistamisesta mediaan, puolustukseen ja IT-alaan maailmanlaajuisesti. Diamond Sleet keskittyy vakoiluun, henkilökohtaisten ja yritystietojen varastamiseen, taloudelliseen hyötyyn ja yritysverkkojen tuhoamiseen.
Gray Sandstorm
Gray Sandstorm (aiemmin DEV-0343) suorittaa laajaa salasanojen levittämistä, joka imitoi Firefox-selainta ja käyttää Tor-välityspalvelimen verkossa isännöitäviä IP-osoitteita. Hyökkäykset kohdistetaan tyypillisesti kymmeniin tai satoihin organisaatiotileihin sen koon mukaan, ja jokainen tili luetteloidaan kymmenistä kerroista tuhansiin kertoihin.
Plaid Rain
Helmikuusta 2022 lähtien Plaid Rainin (aiemmin POLONIUM) on havaittu kohdistavan hyökkäyksiä pääasiassa organisaatioihin Israelissa, keskittyen kriittiseen teollisuuteen, IT-alaan ja Israelin puolustusteollisuuteen.
Volt Typhoon
Microsoftin nimellä Volt Typhoon seuraama uhkaava toimija on valtion tukema ryhmä, joka toimii Kiinassa. Volt Typhoon keskittyy vakoiluun, tietovarkauksiin ja tunnistetietojen käyttöön.
Mint Sandstorm
Mint Sandstorm (aiemmin PHOSPHORUS) on Iraniin yhdistetty toimintaryhmä, joka on ollut aktiivinen vähintään vuodesta 2013.
Silk Typhoon
Vuonna 2021 Silk Typhoon (aiemmin HAFNIUM) on valtion tukema ryhmä, joka toimii Kiinassa.
Forest Blizzard
Forest Blizzard (aiemmin STRONTIUM) käyttää useita ensimmäisen käyttöoikeuden saamisen tekniikoita. Tällaisia ovat haavoittuvien verkkokäyttöisten sovellusten hyödyntäminen sekä kohdennettu verkkourkinta ja automatisoidun salasanahyökkäyksen tai TOR-verkon kautta toimivan väsytyshyökkäystyökalun käyttöönotto tunnistetietojen saamiseksi
Midnight Blizzard
Uhkaava toimija, jota Microsoft seuraa nimellä Midnight Blizzard (NOBELIUM), on Venäjältä toimiva uhkaava toimija, joka toimii Yhdysvaltain ja Yhdistyneen kuningaskunnan viranomaisten mukaan Venäjän ulkomaantiedustelun SVR:n alaisuudessa.
Plaid Rain
Helmikuusta 2022 lähtien Plaid Rainin (aiemmin POLONIUM) on havaittu kohdistavan hyökkäyksiä pääasiassa organisaatioihin Israelissa, keskittyen kriittiseen teollisuuteen, IT-alaan ja Israelin puolustusteollisuuteen.
Aqua Blizzard
Aqua Blizzard (aiemmin ACTINIUM) on valtion tukema ryhmä, joka toimii Venäjältä käsin. Ukrainan viranomaiset ovat julkisesti todenneet tämän ryhmän toimivan Venäjän FSB:n alaisuudessa.
Crimson Sandstorm
Crimson Sandstormin (ennen CURIUM) toimijoiden on havaittu hyödyntävän fiktiivisten sosiaalisen median tilien verkostoa rakentaakseen luottamusta kohteisiin ja levittääkseen haittaohjelmia tietojen poistamiseksi.
Gray Sandstorm
Gray Sandstorm (aiemmin DEV-0343) suorittaa laajaa salasanojen levittämistä, joka imitoi Firefox-selainta ja käyttää Tor-välityspalvelimen verkossa isännöitäviä IP-osoitteita. Hyökkäykset kohdistetaan tyypillisesti kymmeniin tai satoihin organisaatiotileihin sen koon mukaan, ja jokainen tili luetteloidaan kymmenistä kerroista tuhansiin kertoihin.
Silk Typhoon
Vuonna 2021 Silk Typhoon (aiemmin HAFNIUM) on valtion tukema ryhmä, joka toimii Kiinassa.
Forest Blizzard
Forest Blizzard (aiemmin STRONTIUM) käyttää useita ensimmäisen käyttöoikeuden saamisen tekniikoita. Tällaisia ovat haavoittuvien verkkokäyttöisten sovellusten hyödyntäminen sekä kohdennettu verkkourkinta ja automatisoidun salasanahyökkäyksen tai TOR-verkon kautta toimivan väsytyshyökkäystyökalun käyttöönotto tunnistetietojen saamiseksi
Volt Typhoon
Microsoftin nimellä Volt Typhoon seuraama uhkaava toimija on valtion tukema ryhmä, joka toimii Kiinassa. Volt Typhoon keskittyy vakoiluun, tietovarkauksiin ja tunnistetietojen käyttöön.
Periwinkle Tempest
Periwinkle Tempest (aiemmin DEV-0193) on vastuussa eri tietojen, kuten Trickbotin, Bazaloaderin ja AnchorDNS:n, kehittämisestä, jakamisesta ja hallinnasta.
Caramel Tsunami
Caramel Tsunami (ennen SOURGUM) myy yleisesti kyberaseita, yleensä haittaohjelmia ja nollapäivähaavoittuvuutta hyödyntäviä hyökkäyksiä, osana hakkerointi-palvelupakettia, jota myydään valtion virastoille ja muille haitallisille toimijoille.
Cadet Blizzard
Microsoft seuraa Cadet Blizzardia (aiemmin DEV-0586) Venäjän GRU:n sponsoroima uhkaryhmä, jota Microsoft alkoi seurata tammikuun 2022 puolivälissä useissa Ukrainan valtion virastoissa tapahtuneiden häiritsevien ja tuhoisten tapahtumien jälkeen.
Plaid Rain
Helmikuusta 2022 lähtien Plaid Rainin (aiemmin POLONIUM) on havaittu kohdistavan hyökkäyksiä pääasiassa organisaatioihin Israelissa, keskittyen kriittiseen teollisuuteen, IT-alaan ja Israelin puolustusteollisuuteen.
Mint Sandstorm
Mint Sandstorm (aiemmin PHOSPHORUS) on Iraniin yhdistetty toimintaryhmä, joka on ollut aktiivinen vähintään vuodesta 2013.
Smoke sandstorm
Smoke Sandstorm (aiemmin BOHRIUM/DEV-0056) vaaransi sähköpostitilejä Bahrainissa sijaitsevassa IT-integrointiyrityksessä syyskuussa 2021. Yritys työskentelee IT-integrointien parissa Bahrainin julkishallinnon asiakkaiden kanssa, jotka olivat todennäköisesti Smoke Sandstormin pääasiallinen kohde.
Forest Blizzard
Forest Blizzard (aiemmin STRONTIUM) käyttää useita ensimmäisen käyttöoikeuden saamisen tekniikoita. Tällaisia ovat haavoittuvien verkkokäyttöisten sovellusten hyödyntäminen sekä kohdennettu verkkourkinta ja automatisoidun salasanahyökkäyksen tai TOR-verkon kautta toimivan väsytyshyökkäystyökalun käyttöönotto tunnistetietojen saamiseksi
Midnight Blizzard
Uhkaava toimija, jota Microsoft seuraa nimellä Midnight Blizzard (NOBELIUM), on Venäjältä toimiva uhkaava toimija, joka toimii Yhdysvaltain ja Yhdistyneen kuningaskunnan viranomaisten mukaan Venäjän ulkomaantiedustelun SVR:n alaisuudessa.
Volt Typhoon
Microsoftin nimellä Volt Typhoon seuraama uhkaava toimija on valtion tukema ryhmä, joka toimii Kiinassa. Volt Typhoon keskittyy vakoiluun, tietovarkauksiin ja tunnistetietojen käyttöön.
Plaid Rain
Helmikuusta 2022 lähtien Plaid Rainin (aiemmin POLONIUM) on havaittu kohdistavan hyökkäyksiä pääasiassa organisaatioihin Israelissa, keskittyen kriittiseen teollisuuteen, IT-alaan ja Israelin puolustusteollisuuteen.
Hazel Sandstorm
Hazel Sandstorm (ennen EUROPIUM) on julkisesti yhdistetty Iranin tiedustelu- ja turvallisuusministeriöön (MOIS). Microsoft arvioi erittäin luotettavasti, että 15. heinäkuuta 2022 Iranin hallituksen tukemat toimijat tekivät tuhoisan kyberhyökkäyksen Albanian hallitusta vastaan ja häiritsivät hallituksen sivustoja ja julkisia palveluja.
Cadet Blizzard
Microsoft seuraa Cadet Blizzardia (aiemmin DEV-0586) Venäjän GRU:n sponsoroima uhkaryhmä, jota Microsoft alkoi seurata tammikuun 2022 puolivälissä useissa Ukrainan valtion virastoissa tapahtuneiden häiritsevien ja tuhoisten tapahtumien jälkeen.
Caramel Tsunami
Caramel Tsunami (ennen SOURGUM) myy yleisesti kyberaseita, yleensä haittaohjelmia ja nollapäivähaavoittuvuutta hyödyntäviä hyökkäyksiä, osana hakkerointi-palvelupakettia, jota myydään valtion virastoille ja muille haitallisille toimijoille.
Aqua Blizzard
Aqua Blizzard (aiemmin ACTINIUM) on valtion tukema ryhmä, joka toimii Venäjältä käsin. Ukrainan viranomaiset ovat julkisesti todenneet tämän ryhmän toimivan Venäjän FSB:n alaisuudessa.
Nylon Typhoon
Nylon Typhoon (ennen NICKEL) hyödyntää korjaamattomien järjestelmien haavoittuvuuksia vaarantaakseen etäkäyttöpalvelut ja -laitteet. Onnistuneen tunkeutumisen jälkeen he ovat käyttäneet credential dumpers -ohjelmia tai varkaita saadakseen lailliset käyttäjätiedot, joita he ovat sitten käyttäneet päästäkseen käsiksi uhrien tileihin ja päästäkseen käsiksi arvokkaampiin järjestelmiin.
Crimson Sandstorm
Crimson Sandstormin (ennen CURIUM) toimijoiden on havaittu hyödyntävän fiktiivisten sosiaalisen median tilien verkostoa rakentaakseen luottamusta kohteisiin ja levittääkseen haittaohjelmia tietojen poistamiseksi.
Silk Typhoon
Vuonna 2021 Silk Typhoon (aiemmin HAFNIUM) on valtion tukema ryhmä, joka toimii Kiinassa.
Midnight Blizzard
Uhkaava toimija, jota Microsoft seuraa nimellä Midnight Blizzard (NOBELIUM), on Venäjältä toimiva uhkaava toimija, joka toimii Yhdysvaltain ja Yhdistyneen kuningaskunnan viranomaisten mukaan Venäjän ulkomaantiedustelun SVR:n alaisuudessa.
Pistachio Tempest
Pistachio Tempest (aiemmin DEV-0237) on ryhmä, joka liittyy vaikuttavaan kiristysohjelmien jakeluun. Microsoft on havainnut Pistachio Tempestin käyttävän erilaisia kiristysohjelmatietoja pitkällä aikavälillä ryhmän tehdessä kokeiluja uusien kiristysohjelma palveluna (RaaS) -tarjousten parissa. Tällaisia ovat esimerkiksi Ryuk, Conti Hive ja Nokoyawa sekä uusimpina Agenda ja Mindware.
Periwinkle Tempest
Periwinkle Tempest (aiemmin DEV-0193) on vastuussa eri tietojen, kuten Trickbotin, Bazaloaderin ja AnchorDNS:n, kehittämisestä, jakamisesta ja hallinnasta.
Aqua Blizzard
Aqua Blizzard (aiemmin ACTINIUM) on valtion tukema ryhmä, joka toimii Venäjältä käsin. Ukrainan viranomaiset ovat julkisesti todenneet tämän ryhmän toimivan Venäjän FSB:n alaisuudessa.
Silk Typhoon
Vuonna 2021 Silk Typhoon (aiemmin HAFNIUM) on valtion tukema ryhmä, joka toimii Kiinassa.
Volt Typhoon
Microsoftin nimellä Volt Typhoon seuraama uhkaava toimija on valtion tukema ryhmä, joka toimii Kiinassa. Volt Typhoon keskittyy vakoiluun, tietovarkauksiin ja tunnistetietojen käyttöön.
Plaid Rain
Helmikuusta 2022 lähtien Plaid Rainin (aiemmin POLONIUM) on havaittu kohdistavan hyökkäyksiä pääasiassa organisaatioihin Israelissa, keskittyen kriittiseen teollisuuteen, IT-alaan ja Israelin puolustusteollisuuteen.
Volt Typhoon
Microsoftin nimellä Volt Typhoon seuraama uhkaava toimija on valtion tukema ryhmä, joka toimii Kiinassa. Volt Typhoon keskittyy vakoiluun, tietovarkauksiin ja tunnistetietojen käyttöön.
Caramel Tsunami
Caramel Tsunami (ennen SOURGUM) myy yleisesti kyberaseita, yleensä haittaohjelmia ja nollapäivähaavoittuvuutta hyödyntäviä hyökkäyksiä, osana hakkerointi-palvelupakettia, jota myydään valtion virastoille ja muille haitallisille toimijoille.
Manatee Tempest
Manatee Tempest (aiemmin DEV-0243) on uhkaava toimija, joka on osa kiristysohjelma palveluna (RaaS) -talousjärjestelmää ja joka toimii yhdessä muiden uhkaavien toimijoiden kanssa tarjotakseen mukautettuja Cobalt Strike -latausohjelmia.
Smoke sandstorm
Smoke Sandstorm (aiemmin BOHRIUM/DEV-0056) vaaransi sähköpostitilejä Bahrainissa sijaitsevassa IT-integrointiyrityksessä syyskuussa 2021. Yritys työskentelee IT-integrointien parissa Bahrainin julkishallinnon asiakkaiden kanssa, jotka olivat todennäköisesti Smoke Sandstormin pääasiallinen kohde.
Storm-0530
Pohjois-Koreasta lähtöisin oleva ryhmä toimijoita, jota Microsoft seuraa nimellä Storm-0530 (aiemmin DEV-0530), on kehittänyt ja käyttänyt kiristysohjelmia hyökkäyksissä kesäkuusta 2021 lähtien.
Mint Sandstorm
Mint Sandstorm (aiemmin PHOSPHORUS) on Iraniin yhdistetty toimintaryhmä, joka on ollut aktiivinen vähintään vuodesta 2013.
Silk Typhoon
Vuonna 2021 Silk Typhoon (aiemmin HAFNIUM) on valtion tukema ryhmä, joka toimii Kiinassa.
Midnight Blizzard
Uhkaava toimija, jota Microsoft seuraa nimellä Midnight Blizzard (NOBELIUM), on Venäjältä toimiva uhkaava toimija, joka toimii Yhdysvaltain ja Yhdistyneen kuningaskunnan viranomaisten mukaan Venäjän ulkomaantiedustelun SVR:n alaisuudessa.
Aqua Blizzard
Aqua Blizzard (aiemmin ACTINIUM) on valtion tukema ryhmä, joka toimii Venäjältä käsin. Ukrainan viranomaiset ovat julkisesti todenneet tämän ryhmän toimivan Venäjän FSB:n alaisuudessa.
Nylon Typhoon
Nylon Typhoon (ennen NICKEL) hyödyntää korjaamattomien järjestelmien haavoittuvuuksia vaarantaakseen etäkäyttöpalvelut ja -laitteet. Onnistuneen tunkeutumisen jälkeen he ovat käyttäneet credential dumpers -ohjelmia tai varkaita saadakseen lailliset käyttäjätiedot, joita he ovat sitten käyttäneet päästäkseen käsiksi uhrien tileihin ja päästäkseen käsiksi arvokkaampiin järjestelmiin.
Aqua Blizzard
Aqua Blizzard (aiemmin ACTINIUM) on valtion tukema ryhmä, joka toimii Venäjältä käsin. Ukrainan viranomaiset ovat julkisesti todenneet tämän ryhmän toimivan Venäjän FSB:n alaisuudessa.
Silk Typhoon
Vuonna 2021 Silk Typhoon (aiemmin HAFNIUM) on valtion tukema ryhmä, joka toimii Kiinassa.
Caramel Tsunami
Caramel Tsunami (ennen SOURGUM) myy yleisesti kyberaseita, yleensä haittaohjelmia ja nollapäivähaavoittuvuutta hyödyntäviä hyökkäyksiä, osana hakkerointi-palvelupakettia, jota myydään valtion virastoille ja muille haitallisille toimijoille.
Caramel Tsunami
Caramel Tsunami (ennen SOURGUM) myy yleisesti kyberaseita, yleensä haittaohjelmia ja nollapäivähaavoittuvuutta hyödyntäviä hyökkäyksiä, osana hakkerointi-palvelupakettia, jota myydään valtion virastoille ja muille haitallisille toimijoille.
Aqua Blizzard
Aqua Blizzard (aiemmin ACTINIUM) on valtion tukema ryhmä, joka toimii Venäjältä käsin. Ukrainan viranomaiset ovat julkisesti todenneet tämän ryhmän toimivan Venäjän FSB:n alaisuudessa.
Diamond Sleet
Microsoftin nimellä Diamond Sleet seuraama toimija on pohjoiskorealainen toimintaryhmä, joka tunnetaan hyökkäysten kohdistamisesta mediaan, puolustukseen ja IT-alaan maailmanlaajuisesti. Diamond Sleet keskittyy vakoiluun, henkilökohtaisten ja yritystietojen varastamiseen, taloudelliseen hyötyyn ja yritysverkkojen tuhoamiseen.
Forest Blizzard
Forest Blizzard (aiemmin STRONTIUM) käyttää useita ensimmäisen käyttöoikeuden saamisen tekniikoita. Tällaisia ovat haavoittuvien verkkokäyttöisten sovellusten hyödyntäminen sekä kohdennettu verkkourkinta ja automatisoidun salasanahyökkäyksen tai TOR-verkon kautta toimivan väsytyshyökkäystyökalun käyttöönotto tunnistetietojen saamiseksi
Midnight Blizzard
Uhkaava toimija, jota Microsoft seuraa nimellä Midnight Blizzard (NOBELIUM), on Venäjältä toimiva uhkaava toimija, joka toimii Yhdysvaltain ja Yhdistyneen kuningaskunnan viranomaisten mukaan Venäjän ulkomaantiedustelun SVR:n alaisuudessa.
Volt Typhoon
Microsoftin nimellä Volt Typhoon seuraama uhkaava toimija on valtion tukema ryhmä, joka toimii Kiinassa. Volt Typhoon keskittyy vakoiluun, tietovarkauksiin ja tunnistetietojen käyttöön.
Plaid Rain
Helmikuusta 2022 lähtien Plaid Rainin (aiemmin POLONIUM) on havaittu kohdistavan hyökkäyksiä pääasiassa organisaatioihin Israelissa, keskittyen kriittiseen teollisuuteen, IT-alaan ja Israelin puolustusteollisuuteen.
Cadet Blizzard
Microsoft seuraa Cadet Blizzardia (aiemmin DEV-0586) Venäjän GRU:n sponsoroima uhkaryhmä, jota Microsoft alkoi seurata tammikuun 2022 puolivälissä useissa Ukrainan valtion virastoissa tapahtuneiden häiritsevien ja tuhoisten tapahtumien jälkeen.
Crimson Sandstorm
Crimson Sandstormin (ennen CURIUM) toimijoiden on havaittu hyödyntävän fiktiivisten sosiaalisen median tilien verkostoa rakentaakseen luottamusta kohteisiin ja levittääkseen haittaohjelmia tietojen poistamiseksi.
Diamond Sleet
Microsoftin nimellä Diamond Sleet seuraama toimija on pohjoiskorealainen toimintaryhmä, joka tunnetaan hyökkäysten kohdistamisesta mediaan, puolustukseen ja IT-alaan maailmanlaajuisesti. Diamond Sleet keskittyy vakoiluun, henkilökohtaisten ja yritystietojen varastamiseen, taloudelliseen hyötyyn ja yritysverkkojen tuhoamiseen.
Gray Sandstorm
Gray Sandstorm (aiemmin DEV-0343) suorittaa laajaa salasanojen levittämistä, joka imitoi Firefox-selainta ja käyttää Tor-välityspalvelimen verkossa isännöitäviä IP-osoitteita. Hyökkäykset kohdistetaan tyypillisesti kymmeniin tai satoihin organisaatiotileihin sen koon mukaan, ja jokainen tili luetteloidaan kymmenistä kerroista tuhansiin kertoihin.
Silk Typhoon
Vuonna 2021 Silk Typhoon (aiemmin HAFNIUM) on valtion tukema ryhmä, joka toimii Kiinassa.
Forest Blizzard
Forest Blizzard (aiemmin STRONTIUM) käyttää useita ensimmäisen käyttöoikeuden saamisen tekniikoita. Tällaisia ovat haavoittuvien verkkokäyttöisten sovellusten hyödyntäminen sekä kohdennettu verkkourkinta ja automatisoidun salasanahyökkäyksen tai TOR-verkon kautta toimivan väsytyshyökkäystyökalun käyttöönotto tunnistetietojen saamiseksi
Midnight Blizzard
Uhkaava toimija, jota Microsoft seuraa nimellä Midnight Blizzard (NOBELIUM), on Venäjältä toimiva uhkaava toimija, joka toimii Yhdysvaltain ja Yhdistyneen kuningaskunnan viranomaisten mukaan Venäjän ulkomaantiedustelun SVR:n alaisuudessa.
Diamond Sleet
Microsoftin nimellä Diamond Sleet seuraama toimija on pohjoiskorealainen toimintaryhmä, joka tunnetaan hyökkäysten kohdistamisesta mediaan, puolustukseen ja IT-alaan maailmanlaajuisesti. Diamond Sleet keskittyy vakoiluun, henkilökohtaisten ja yritystietojen varastamiseen, taloudelliseen hyötyyn ja yritysverkkojen tuhoamiseen.
Silk Typhoon
Vuonna 2021 Silk Typhoon (aiemmin HAFNIUM) on valtion tukema ryhmä, joka toimii Kiinassa.
Volt Typhoon
Microsoftin nimellä Volt Typhoon seuraama uhkaava toimija on valtion tukema ryhmä, joka toimii Kiinassa. Volt Typhoon keskittyy vakoiluun, tietovarkauksiin ja tunnistetietojen käyttöön.
Plaid Rain
Helmikuusta 2022 lähtien Plaid Rainin (aiemmin POLONIUM) on havaittu kohdistavan hyökkäyksiä pääasiassa organisaatioihin Israelissa, keskittyen kriittiseen teollisuuteen, IT-alaan ja Israelin puolustusteollisuuteen.
Gray Sandstorm
Gray Sandstorm (aiemmin DEV-0343) suorittaa laajaa salasanojen levittämistä, joka imitoi Firefox-selainta ja käyttää Tor-välityspalvelimen verkossa isännöitäviä IP-osoitteita. Hyökkäykset kohdistetaan tyypillisesti kymmeniin tai satoihin organisaatiotileihin sen koon mukaan, ja jokainen tili luetteloidaan kymmenistä kerroista tuhansiin kertoihin.
Midnight Blizzard
Uhkaava toimija, jota Microsoft seuraa nimellä Midnight Blizzard (NOBELIUM), on Venäjältä toimiva uhkaava toimija, joka toimii Yhdysvaltain ja Yhdistyneen kuningaskunnan viranomaisten mukaan Venäjän ulkomaantiedustelun SVR:n alaisuudessa.
Volt Typhoon
Microsoftin nimellä Volt Typhoon seuraama uhkaava toimija on valtion tukema ryhmä, joka toimii Kiinassa. Volt Typhoon keskittyy vakoiluun, tietovarkauksiin ja tunnistetietojen käyttöön.
Smoke sandstorm
Smoke Sandstorm (aiemmin BOHRIUM/DEV-0056) vaaransi sähköpostitilejä Bahrainissa sijaitsevassa IT-integrointiyrityksessä syyskuussa 2021. Yritys työskentelee IT-integrointien parissa Bahrainin julkishallinnon asiakkaiden kanssa, jotka olivat todennäköisesti Smoke Sandstormin pääasiallinen kohde.
Silk Typhoon
Vuonna 2021 Silk Typhoon (aiemmin HAFNIUM) on valtion tukema ryhmä, joka toimii Kiinassa.
Forest Blizzard
Forest Blizzard (aiemmin STRONTIUM) käyttää useita ensimmäisen käyttöoikeuden saamisen tekniikoita. Tällaisia ovat haavoittuvien verkkokäyttöisten sovellusten hyödyntäminen sekä kohdennettu verkkourkinta ja automatisoidun salasanahyökkäyksen tai TOR-verkon kautta toimivan väsytyshyökkäystyökalun käyttöönotto tunnistetietojen saamiseksi
Midnight Blizzard
Uhkaava toimija, jota Microsoft seuraa nimellä Midnight Blizzard (NOBELIUM), on Venäjältä toimiva uhkaava toimija, joka toimii Yhdysvaltain ja Yhdistyneen kuningaskunnan viranomaisten mukaan Venäjän ulkomaantiedustelun SVR:n alaisuudessa.
Volt Typhoon
Microsoftin nimellä Volt Typhoon seuraama uhkaava toimija on valtion tukema ryhmä, joka toimii Kiinassa. Volt Typhoon keskittyy vakoiluun, tietovarkauksiin ja tunnistetietojen käyttöön.
Plaid Rain
Helmikuusta 2022 lähtien Plaid Rainin (aiemmin POLONIUM) on havaittu kohdistavan hyökkäyksiä pääasiassa organisaatioihin Israelissa, keskittyen kriittiseen teollisuuteen, IT-alaan ja Israelin puolustusteollisuuteen.
Hazel Sandstorm
Hazel Sandstorm (ennen EUROPIUM) on julkisesti yhdistetty Iranin tiedustelu- ja turvallisuusministeriöön (MOIS). Microsoft arvioi erittäin luotettavasti, että 15. heinäkuuta 2022 Iranin hallituksen tukemat toimijat tekivät tuhoisan kyberhyökkäyksen Albanian hallitusta vastaan ja häiritsivät hallituksen sivustoja ja julkisia palveluja.
Cadet Blizzard
Microsoft seuraa Cadet Blizzardia (aiemmin DEV-0586) Venäjän GRU:n sponsoroima uhkaryhmä, jota Microsoft alkoi seurata tammikuun 2022 puolivälissä useissa Ukrainan valtion virastoissa tapahtuneiden häiritsevien ja tuhoisten tapahtumien jälkeen.
Aqua Blizzard
Aqua Blizzard (aiemmin ACTINIUM) on valtion tukema ryhmä, joka toimii Venäjältä käsin. Ukrainan viranomaiset ovat julkisesti todenneet tämän ryhmän toimivan Venäjän FSB:n alaisuudessa.
Nylon Typhoon
Nylon Typhoon (ennen NICKEL) hyödyntää korjaamattomien järjestelmien haavoittuvuuksia vaarantaakseen etäkäyttöpalvelut ja -laitteet. Onnistuneen tunkeutumisen jälkeen he ovat käyttäneet credential dumpers -ohjelmia tai varkaita saadakseen lailliset käyttäjätiedot, joita he ovat sitten käyttäneet päästäkseen käsiksi uhrien tileihin ja päästäkseen käsiksi arvokkaampiin järjestelmiin.
Crimson Sandstorm
Crimson Sandstormin (ennen CURIUM) toimijoiden on havaittu hyödyntävän fiktiivisten sosiaalisen median tilien verkostoa rakentaakseen luottamusta kohteisiin ja levittääkseen haittaohjelmia tietojen poistamiseksi.
Diamond Sleet
Microsoftin nimellä Diamond Sleet seuraama toimija on pohjoiskorealainen toimintaryhmä, joka tunnetaan hyökkäysten kohdistamisesta mediaan, puolustukseen ja IT-alaan maailmanlaajuisesti. Diamond Sleet keskittyy vakoiluun, henkilökohtaisten ja yritystietojen varastamiseen, taloudelliseen hyötyyn ja yritysverkkojen tuhoamiseen.
Gray Sandstorm
Gray Sandstorm (aiemmin DEV-0343) suorittaa laajaa salasanojen levittämistä, joka imitoi Firefox-selainta ja käyttää Tor-välityspalvelimen verkossa isännöitäviä IP-osoitteita. Hyökkäykset kohdistetaan tyypillisesti kymmeniin tai satoihin organisaatiotileihin sen koon mukaan, ja jokainen tili luetteloidaan kymmenistä kerroista tuhansiin kertoihin.
Manatee Tempest
Manatee Tempest (aiemmin DEV-0243) on uhkaava toimija, joka on osa kiristysohjelma palveluna (RaaS) -talousjärjestelmää ja joka toimii yhdessä muiden uhkaavien toimijoiden kanssa tarjotakseen mukautettuja Cobalt Strike -latausohjelmia.
Wine tempest
Wine Tempest (ennen PARINACOTA) käyttää hyökkäyksissään tyypillisesti ihmisten ohjaamia kiristysohjelmia, useimmiten Wadhrama-kiristysohjelmaa. Se on kekseliäs ja vaihtaa taktiikkaa tarpeidensa mukaan, ja se on käyttänyt vaarannettuja koneita erilaisiin tarkoituksiin, kuten kryptovaluutan louhintaan, roskapostin lähettämiseen tai muiden hyökkäysten välittämiseen.
Smoke sandstorm
Smoke Sandstorm (aiemmin BOHRIUM/DEV-0056) vaaransi sähköpostitilejä Bahrainissa sijaitsevassa IT-integrointiyrityksessä syyskuussa 2021. Yritys työskentelee IT-integrointien parissa Bahrainin julkishallinnon asiakkaiden kanssa, jotka olivat todennäköisesti Smoke Sandstormin pääasiallinen kohde.
Pistachio Tempest
Pistachio Tempest (aiemmin DEV-0237) on ryhmä, joka liittyy vaikuttavaan kiristysohjelmien jakeluun. Microsoft on havainnut Pistachio Tempestin käyttävän erilaisia kiristysohjelmatietoja pitkällä aikavälillä ryhmän tehdessä kokeiluja uusien kiristysohjelma palveluna (RaaS) -tarjousten parissa. Tällaisia ovat esimerkiksi Ryuk, Conti Hive ja Nokoyawa sekä uusimpina Agenda ja Mindware.
Periwinkle Tempest
Periwinkle Tempest (aiemmin DEV-0193) on vastuussa eri tietojen, kuten Trickbotin, Bazaloaderin ja AnchorDNS:n, kehittämisestä, jakamisesta ja hallinnasta.
Caramel Tsunami
Caramel Tsunami (ennen SOURGUM) myy yleisesti kyberaseita, yleensä haittaohjelmia ja nollapäivähaavoittuvuutta hyödyntäviä hyökkäyksiä, osana hakkerointi-palvelupakettia, jota myydään valtion virastoille ja muille haitallisille toimijoille.
Caramel Tsunami
Caramel Tsunami (ennen SOURGUM) myy yleisesti kyberaseita, yleensä haittaohjelmia ja nollapäivähaavoittuvuutta hyödyntäviä hyökkäyksiä, osana hakkerointi-palvelupakettia, jota myydään valtion virastoille ja muille haitallisille toimijoille.
Silk Typhoon
Vuonna 2021 Silk Typhoon (aiemmin HAFNIUM) on valtion tukema ryhmä, joka toimii Kiinassa.
Tutustu asiantuntijoihin
The Microsoft Threat Intelligence Podcast
Kuuntele tarinoita Microsoft Threat Intelligence -yhteisöltä, joka liikkuu jatkuvasti kehittyvässä uhkamaisemassa – paljastaen APT:itä, tietoverkkorikollisjengejä, haittaohjelmia, haavoittuvuuksia ja paljon muuta kyberuhkien maailmassa.
Tutustu asiantuntijoihin
Tutustu tiedusteluraportteihin
Microsoftin digitaalisen suojauksen raportti
Microsoftin digitaalisen suojauksen raportin uusimmassa versiossa tutustutaan kehittyvään uhkaympäristöön ja käydään läpi kyberresilienssin mahdollisuuksia ja haasteita.
Ylläpidä käytännön verkkopuolustus
Lue lisää
Microsoft Threat Intelligence -blogi
Lue Microsoft Threat Intelligence -blogista lisää uusimpia tietoja, jotka kattavat viimeisimmät uhat sekä ohjeita asiakkaiden suojaamiseen.
Etsi uhkia
Microsoftin ja KC7:n kyberhaasteiden sarja
Tässä kyberturvallisuuden etsiväpelissä toimit uhka-analyytikkona ja opit tutkimaan realistisia hyökkäyksiä.
Seuraa Microsoft Securitya