Krijg inzichten rechtstreeks van de experts in de Microsoft Bedreigingsinformatie-podcast. Luister nu.
Security Insider
Bedreigingsinformatie en bruikbare inzichten om een stap voor te blijven
Opkomende bedreigingen
Jaaroverzicht van Bedreigingsinformatie in 2023: Belangrijke inzichten en ontwikkelingen
Microsoft Bedreigingsinformatie zet de toptrends van bedreigingsactoren op het gebied van tactieken, technieken en procedures (TTP's) vanaf 2023 op een rij.
Het laatste nieuws
Informatierapporten
Omgaan met cyberbedreigingen en de verdediging versterken in het tijdperk van AI
Informatierapporten
Iran gebruikt steeds meer cyberbeïnvloedingsoperaties om Hamas te ondersteunen
Opkomende bedreigingen
Misbruik maken van de vertrouwenseconomie: fraude via social engineering
Inzichten over bedreigingsactoren
Microsoft Beveiliging houdt actief bedreigingsactoren bij in activiteiten van natiestaten, met ransomware en van criminelen. Deze inzichten vertegenwoordigen de openbaar gepubliceerde activiteit van Microsoft Beveiliging-bedreigingsonderzoekers en bieden een gecentraliseerde catalogus van actorprofielen uit de blogs waarnaar wordt verwezen.
Mint Sandstorm
Mint Sandstorm (voorheen PHOSPHORUS) probeert meestal de persoonlijke accounts van individuen te compromitteren door middel van spear phishing en het gebruik van social engineering om een band op te bouwen met slachtoffers voor ze het doelwit worden
Manatee Tempest
Manatee Tempest (voorheen DEV-0243) is een bedreigingsactor die een onderdeel is van de ransomware als een dienst (ransomware as a service, of RaaS)-economie. De groep werkt samen met andere bedreigingsactoren om aangepaste Cobalt Strike-laders te bieden.
Wine tempest
Wine Tempest (voorheen PARINACOTA) gebruikt meestal door mensen beheerde ransomware voor aanvallen. Wadhrama-ransomware wordt het meest geïmplementeerd. Ze zijn vindingrijk, veranderen hun tactieken zodat ze passen bij hun behoeften en hebben gecompromitteerde computers gebruikt voor verschillende doelen, inclusief cryptoanalyse, e-mails met spam verzenden en proxy's gebruiken voor andere aanvallen.
Smoke sandstorm
In september 2021 compromitteerde Smoke Sandstorm (voorheen BOHRIUM/DEV-0056) e-mailaccounts van een IT-integratiebedrijf uit Bahrein. Dit bedrijf werkt aan IT-integratie met Bahreinse overheidsklanten, waarschijnlijk de uiteindelijke doelwitten van Smoke Sandstorm.
Storm-0530
Een groep actoren afkomstig uit Noord-Korea wordt door Microsoft bijgehouden als Storm-0530 (voorheen DEV-0530). Deze groep heeft sinds juni 2021 ransomware ontwikkeld en gebruikt in aanvallen.
Silk Typhoon
In 2021 gebruikte Silk Typhoon (voorheen HAFNIUM) 0-day aanvallen om on-premises versies van Microsoft Exchange Server aan te vallen in beperkte en gerichte aanvallen.
Forest Blizzard
Forest Blizzard (voorheen STRONTIUM) gebruikt een verscheidenheid aan technieken voor initiële toegang, inclusief het gebruikmaken van kwetsbare webgerichte toepassingen. Om referenties te verkrijgen maakt de actor gebruik van spear phishing en de implementatie van een hulpprogramma voor een geautomatiseerde wachtwoordspray/beveiligingsaanval die werkt via TOR
Midnight Blizzard
De actor die Microsoft bijhoudt als Midnight Blizzard (NOBELIUM) is een bedreigingsactor vanuit Rusland, toegeschreven door de overheden van de Verenigde Staten en het Verenigd Koninkrijk aan de Dienst Buitenlandse veiligheid van Rusland (SVR).
Volt Typhoon
De actor die Microsoft bijhoudt als Volt Typhoon is een nation-state activiteitengroep vanuit China. Volt Typhoon is gefocust op spionage, gegevensdiefstal en toegang tot referenties.
Plaid Rain
Sinds februari 2022 wordt waargenomen dat Plaid Rain (voorheen POLONIUM) voornamelijk organisaties in Israël aanvalt, met een focus op de essentiële productie-, IT- en Israëlische defensiesector.
Hazel Sandstorm
Hazel Sandstorm (voorheen EUROPIUM) is openbaar gekoppeld aan het Iraanse ministerie voor Inlichtingen en Veiligheid (Ministry of Intelligence and Security, of MOIS). Microsoft heeft met veel zekerheid beoordeeld dat actoren die worden gesponsord door de Iraanse overheid op 15 juli 2022 een vernietigende cyberaanval hebben uitgevoerd op de Albanese overheid. Door deze aanval werden Albanese overheidswebsites en openbare diensten verstoord.
Cadet Blizzard
Microsoft houdt Cadet Blizzard (voorheen DEV-0586) bij als een door de Russische staat gesponsorde bedreigingsactor die Microsoft begon te volgen na verstorende en destructieve gebeurtenissen die midden januari 2022 plaatsvonden bij meerdere overheidsinstanties in Oekraïne.
Pistachio Tempest
Pistachio Tempest (voorheen DEV-0237) is een groep die is gerelateerd aan de distributie van impactvolle ransomware. Microsoft heeft waargenomen dat Pistachio Tempest in de loop van de tijd verschillende ransomware-payloads heeft gebruikt. De groep experimenteert met nieuwe aanbiedingen van ransomware als een dienst (ransomware as a service, of RaaS), van Ryuk en Conti tot Hive, Nokoyawa en (het meest recent) Agenda en Mindware.
Periwinkle Tempest
Periwinkle Tempest (voorheen DEV-0193) is verantwoordelijk voor het ontwikkelen, distribueren en beheren van veel verschillende payloads, inclusief Trickbot, Bazaloader en AnchorDNS.
Caramel Tsunami
Caramel Tsunami (voorheen SOURGUM) verkoopt in het algemeen cyberwapens, meestal malware en zero-day-bedreigingen, als onderdeel van een pakket 'hacken als een dienst'. Dit pakket wordt verkocht aan overheidsinstellingen en andere kwaadaardige actoren.
Aqua Blizzard
Aqua Blizzard (voorheen ACTINIUM) gebruikt spear-phishing e-mails met schadelijke macrobijlagen die gebruikmaken van sjablonen op afstand. Het primaire doel van de activiteiten van Aqua Blizzard is om blijvende toegang te krijgen tot specifieke netwerken, door het inzetten van aangepaste malware en commerciële hulpmiddelen, met als doel het verzamelen van gegevens.
Nylon Typhoon
Nylon Typhoon (voorheen NICKEL) valt niet-gepatchte systemen aan om services en apparaten voor externe toegang te compromitteren. Na een succesvolle inbreuk maakt de groep gebruik van referentiedumpers of -stelers om legitieme referenties te verkrijgen. Met deze legitieme referenties krijgen ze toegang tot accounts van slachtoffers en tot systemen met een hogere waarde.
Crimson Sandstorm
Het is waargenomen dat actoren van Crimson Sandstorm (voorheen CURIUM) gebruikmaken van een netwerk van fictieve sociale media-accounts om het vertrouwen van doelwitten te winnen en malware te leveren om uiteindelijk gegevens te extraheren.
Diamond Sleet
Diamond Sleet (voorheen ZINC) is een bedreigingsactor die namens de Noord-Koreaanse overheid wereldwijde activiteiten uitvoert. Diamond Sleet is op zijn minst sinds 2009 actief en richt zich op media, defensie, informatietechnologie, wetenschappelijk onderzoek en beveiligingsonderzoekers met de focus op spionage, gegevensdiefstal, financieel gewin en de vernietiging van netwerken.
Gray Sandstorm
Gray Sandstorm (voorheen DEV-0343) voert uitgebreid wachtwoordspray uit via een geïmiteerde Firefox-browser en gebruikt IP's die worden gehost op een Tor-proxynetwerk. Meestal valt de groep tientallen tot honderden accounts aan binnen een organisatie, afhankelijk van de grootte. Elk account wordt tientallen tot duizenden keren opgesomd.
Plaid Rain
Sinds februari 2022 wordt waargenomen dat Plaid Rain (voorheen POLONIUM) voornamelijk organisaties in Israël aanvalt, met een focus op de essentiële productie-, IT- en Israëlische defensiesector.
Volt Typhoon
De actor die Microsoft bijhoudt als Volt Typhoon is een nation-state activiteitengroep vanuit China. Volt Typhoon is gefocust op spionage, gegevensdiefstal en toegang tot referenties.
Mint Sandstorm
Mint Sandstorm (voorheen PHOSPHORUS) probeert meestal de persoonlijke accounts van individuen te compromitteren door middel van spear phishing en het gebruik van social engineering om een band op te bouwen met slachtoffers voor ze het doelwit worden
Silk Typhoon
In 2021 gebruikte Silk Typhoon (voorheen HAFNIUM) 0-day aanvallen om on-premises versies van Microsoft Exchange Server aan te vallen in beperkte en gerichte aanvallen.
Forest Blizzard
Forest Blizzard (voorheen STRONTIUM) gebruikt een verscheidenheid aan technieken voor initiële toegang, inclusief het gebruikmaken van kwetsbare webgerichte toepassingen. Om referenties te verkrijgen maakt de actor gebruik van spear phishing en de implementatie van een hulpprogramma voor een geautomatiseerde wachtwoordspray/beveiligingsaanval die werkt via TOR
Midnight Blizzard
De actor die Microsoft bijhoudt als Midnight Blizzard (NOBELIUM) is een bedreigingsactor vanuit Rusland, toegeschreven door de overheden van de Verenigde Staten en het Verenigd Koninkrijk aan de Dienst Buitenlandse veiligheid van Rusland (SVR).
Plaid Rain
Sinds februari 2022 wordt waargenomen dat Plaid Rain (voorheen POLONIUM) voornamelijk organisaties in Israël aanvalt, met een focus op de essentiële productie-, IT- en Israëlische defensiesector.
Aqua Blizzard
Aqua Blizzard (voorheen ACTINIUM) gebruikt spear-phishing e-mails met schadelijke macrobijlagen die gebruikmaken van sjablonen op afstand. Het primaire doel van de activiteiten van Aqua Blizzard is om blijvende toegang te krijgen tot specifieke netwerken, door het inzetten van aangepaste malware en commerciële hulpmiddelen, met als doel het verzamelen van gegevens.
Crimson Sandstorm
Het is waargenomen dat actoren van Crimson Sandstorm (voorheen CURIUM) gebruikmaken van een netwerk van fictieve sociale media-accounts om het vertrouwen van doelwitten te winnen en malware te leveren om uiteindelijk gegevens te extraheren.
Gray Sandstorm
Gray Sandstorm (voorheen DEV-0343) voert uitgebreid wachtwoordspray uit via een geïmiteerde Firefox-browser en gebruikt IP's die worden gehost op een Tor-proxynetwerk. Meestal valt de groep tientallen tot honderden accounts aan binnen een organisatie, afhankelijk van de grootte. Elk account wordt tientallen tot duizenden keren opgesomd.
Silk Typhoon
In 2021 gebruikte Silk Typhoon (voorheen HAFNIUM) 0-day aanvallen om on-premises versies van Microsoft Exchange Server aan te vallen in beperkte en gerichte aanvallen.
Forest Blizzard
Forest Blizzard (voorheen STRONTIUM) gebruikt een verscheidenheid aan technieken voor initiële toegang, inclusief het gebruikmaken van kwetsbare webgerichte toepassingen. Om referenties te verkrijgen maakt de actor gebruik van spear phishing en de implementatie van een hulpprogramma voor een geautomatiseerde wachtwoordspray/beveiligingsaanval die werkt via TOR
Volt Typhoon
De actor die Microsoft bijhoudt als Volt Typhoon is een nation-state activiteitengroep vanuit China. Volt Typhoon is gefocust op spionage, gegevensdiefstal en toegang tot referenties.
Periwinkle Tempest
Periwinkle Tempest (voorheen DEV-0193) is verantwoordelijk voor het ontwikkelen, distribueren en beheren van veel verschillende payloads, inclusief Trickbot, Bazaloader en AnchorDNS.
Caramel Tsunami
Caramel Tsunami (voorheen SOURGUM) verkoopt in het algemeen cyberwapens, meestal malware en zero-day-bedreigingen, als onderdeel van een pakket 'hacken als een dienst'. Dit pakket wordt verkocht aan overheidsinstellingen en andere kwaadaardige actoren.
Cadet Blizzard
Microsoft houdt Cadet Blizzard (voorheen DEV-0586) bij als een door de Russische staat gesponsorde bedreigingsactor die Microsoft begon te volgen na verstorende en destructieve gebeurtenissen die midden januari 2022 plaatsvonden bij meerdere overheidsinstanties in Oekraïne.
Plaid Rain
Sinds februari 2022 wordt waargenomen dat Plaid Rain (voorheen POLONIUM) voornamelijk organisaties in Israël aanvalt, met een focus op de essentiële productie-, IT- en Israëlische defensiesector.
Mint Sandstorm
Mint Sandstorm (voorheen PHOSPHORUS) probeert meestal de persoonlijke accounts van individuen te compromitteren door middel van spear phishing en het gebruik van social engineering om een band op te bouwen met slachtoffers voor ze het doelwit worden
Smoke sandstorm
In september 2021 compromitteerde Smoke Sandstorm (voorheen BOHRIUM/DEV-0056) e-mailaccounts van een IT-integratiebedrijf uit Bahrein. Dit bedrijf werkt aan IT-integratie met Bahreinse overheidsklanten, waarschijnlijk de uiteindelijke doelwitten van Smoke Sandstorm.
Forest Blizzard
Forest Blizzard (voorheen STRONTIUM) gebruikt een verscheidenheid aan technieken voor initiële toegang, inclusief het gebruikmaken van kwetsbare webgerichte toepassingen. Om referenties te verkrijgen maakt de actor gebruik van spear phishing en de implementatie van een hulpprogramma voor een geautomatiseerde wachtwoordspray/beveiligingsaanval die werkt via TOR
Midnight Blizzard
De actor die Microsoft bijhoudt als Midnight Blizzard (NOBELIUM) is een bedreigingsactor vanuit Rusland, toegeschreven door de overheden van de Verenigde Staten en het Verenigd Koninkrijk aan de Dienst Buitenlandse veiligheid van Rusland (SVR).
Volt Typhoon
De actor die Microsoft bijhoudt als Volt Typhoon is een nation-state activiteitengroep vanuit China. Volt Typhoon is gefocust op spionage, gegevensdiefstal en toegang tot referenties.
Plaid Rain
Sinds februari 2022 wordt waargenomen dat Plaid Rain (voorheen POLONIUM) voornamelijk organisaties in Israël aanvalt, met een focus op de essentiële productie-, IT- en Israëlische defensiesector.
Hazel Sandstorm
Hazel Sandstorm (voorheen EUROPIUM) is openbaar gekoppeld aan het Iraanse ministerie voor Inlichtingen en Veiligheid (Ministry of Intelligence and Security, of MOIS). Microsoft heeft met veel zekerheid beoordeeld dat actoren die worden gesponsord door de Iraanse overheid op 15 juli 2022 een vernietigende cyberaanval hebben uitgevoerd op de Albanese overheid. Door deze aanval werden Albanese overheidswebsites en openbare diensten verstoord.
Cadet Blizzard
Microsoft houdt Cadet Blizzard (voorheen DEV-0586) bij als een door de Russische staat gesponsorde bedreigingsactor die Microsoft begon te volgen na verstorende en destructieve gebeurtenissen die midden januari 2022 plaatsvonden bij meerdere overheidsinstanties in Oekraïne.
Caramel Tsunami
Caramel Tsunami (voorheen SOURGUM) verkoopt in het algemeen cyberwapens, meestal malware en zero-day-bedreigingen, als onderdeel van een pakket 'hacken als een dienst'. Dit pakket wordt verkocht aan overheidsinstellingen en andere kwaadaardige actoren.
Aqua Blizzard
Aqua Blizzard (voorheen ACTINIUM) gebruikt spear-phishing e-mails met schadelijke macrobijlagen die gebruikmaken van sjablonen op afstand. Het primaire doel van de activiteiten van Aqua Blizzard is om blijvende toegang te krijgen tot specifieke netwerken, door het inzetten van aangepaste malware en commerciële hulpmiddelen, met als doel het verzamelen van gegevens.
Nylon Typhoon
Nylon Typhoon (voorheen NICKEL) valt niet-gepatchte systemen aan om services en apparaten voor externe toegang te compromitteren. Na een succesvolle inbreuk maakt de groep gebruik van referentiedumpers of -stelers om legitieme referenties te verkrijgen. Met deze legitieme referenties krijgen ze toegang tot accounts van slachtoffers en tot systemen met een hogere waarde.
Crimson Sandstorm
Het is waargenomen dat actoren van Crimson Sandstorm (voorheen CURIUM) gebruikmaken van een netwerk van fictieve sociale media-accounts om het vertrouwen van doelwitten te winnen en malware te leveren om uiteindelijk gegevens te extraheren.
Silk Typhoon
In 2021 gebruikte Silk Typhoon (voorheen HAFNIUM) 0-day aanvallen om on-premises versies van Microsoft Exchange Server aan te vallen in beperkte en gerichte aanvallen.
Midnight Blizzard
De actor die Microsoft bijhoudt als Midnight Blizzard (NOBELIUM) is een bedreigingsactor vanuit Rusland, toegeschreven door de overheden van de Verenigde Staten en het Verenigd Koninkrijk aan de Dienst Buitenlandse veiligheid van Rusland (SVR).
Pistachio Tempest
Pistachio Tempest (voorheen DEV-0237) is een groep die is gerelateerd aan de distributie van impactvolle ransomware. Microsoft heeft waargenomen dat Pistachio Tempest in de loop van de tijd verschillende ransomware-payloads heeft gebruikt. De groep experimenteert met nieuwe aanbiedingen van ransomware als een dienst (ransomware as a service, of RaaS), van Ryuk en Conti tot Hive, Nokoyawa en (het meest recent) Agenda en Mindware.
Periwinkle Tempest
Periwinkle Tempest (voorheen DEV-0193) is verantwoordelijk voor het ontwikkelen, distribueren en beheren van veel verschillende payloads, inclusief Trickbot, Bazaloader en AnchorDNS.
Aqua Blizzard
Aqua Blizzard (voorheen ACTINIUM) gebruikt spear-phishing e-mails met schadelijke macrobijlagen die gebruikmaken van sjablonen op afstand. Het primaire doel van de activiteiten van Aqua Blizzard is om blijvende toegang te krijgen tot specifieke netwerken, door het inzetten van aangepaste malware en commerciële hulpmiddelen, met als doel het verzamelen van gegevens.
Silk Typhoon
In 2021 gebruikte Silk Typhoon (voorheen HAFNIUM) 0-day aanvallen om on-premises versies van Microsoft Exchange Server aan te vallen in beperkte en gerichte aanvallen.
Volt Typhoon
De actor die Microsoft bijhoudt als Volt Typhoon is een nation-state activiteitengroep vanuit China. Volt Typhoon is gefocust op spionage, gegevensdiefstal en toegang tot referenties.
Plaid Rain
Sinds februari 2022 wordt waargenomen dat Plaid Rain (voorheen POLONIUM) voornamelijk organisaties in Israël aanvalt, met een focus op de essentiële productie-, IT- en Israëlische defensiesector.
Volt Typhoon
De actor die Microsoft bijhoudt als Volt Typhoon is een nation-state activiteitengroep vanuit China. Volt Typhoon is gefocust op spionage, gegevensdiefstal en toegang tot referenties.
Caramel Tsunami
Caramel Tsunami (voorheen SOURGUM) verkoopt in het algemeen cyberwapens, meestal malware en zero-day-bedreigingen, als onderdeel van een pakket 'hacken als een dienst'. Dit pakket wordt verkocht aan overheidsinstellingen en andere kwaadaardige actoren.
Manatee Tempest
Manatee Tempest (voorheen DEV-0243) is een bedreigingsactor die een onderdeel is van de ransomware als een dienst (ransomware as a service, of RaaS)-economie. De groep werkt samen met andere bedreigingsactoren om aangepaste Cobalt Strike-laders te bieden.
Smoke sandstorm
In september 2021 compromitteerde Smoke Sandstorm (voorheen BOHRIUM/DEV-0056) e-mailaccounts van een IT-integratiebedrijf uit Bahrein. Dit bedrijf werkt aan IT-integratie met Bahreinse overheidsklanten, waarschijnlijk de uiteindelijke doelwitten van Smoke Sandstorm.
Storm-0530
Een groep actoren afkomstig uit Noord-Korea wordt door Microsoft bijgehouden als Storm-0530 (voorheen DEV-0530). Deze groep heeft sinds juni 2021 ransomware ontwikkeld en gebruikt in aanvallen.
Mint Sandstorm
Mint Sandstorm (voorheen PHOSPHORUS) probeert meestal de persoonlijke accounts van individuen te compromitteren door middel van spear phishing en het gebruik van social engineering om een band op te bouwen met slachtoffers voor ze het doelwit worden
Silk Typhoon
In 2021 gebruikte Silk Typhoon (voorheen HAFNIUM) 0-day aanvallen om on-premises versies van Microsoft Exchange Server aan te vallen in beperkte en gerichte aanvallen.
Midnight Blizzard
De actor die Microsoft bijhoudt als Midnight Blizzard (NOBELIUM) is een bedreigingsactor vanuit Rusland, toegeschreven door de overheden van de Verenigde Staten en het Verenigd Koninkrijk aan de Dienst Buitenlandse veiligheid van Rusland (SVR).
Aqua Blizzard
Aqua Blizzard (voorheen ACTINIUM) gebruikt spear-phishing e-mails met schadelijke macrobijlagen die gebruikmaken van sjablonen op afstand. Het primaire doel van de activiteiten van Aqua Blizzard is om blijvende toegang te krijgen tot specifieke netwerken, door het inzetten van aangepaste malware en commerciële hulpmiddelen, met als doel het verzamelen van gegevens.
Nylon Typhoon
Nylon Typhoon (voorheen NICKEL) valt niet-gepatchte systemen aan om services en apparaten voor externe toegang te compromitteren. Na een succesvolle inbreuk maakt de groep gebruik van referentiedumpers of -stelers om legitieme referenties te verkrijgen. Met deze legitieme referenties krijgen ze toegang tot accounts van slachtoffers en tot systemen met een hogere waarde.
Aqua Blizzard
Aqua Blizzard (voorheen ACTINIUM) gebruikt spear-phishing e-mails met schadelijke macrobijlagen die gebruikmaken van sjablonen op afstand. Het primaire doel van de activiteiten van Aqua Blizzard is om blijvende toegang te krijgen tot specifieke netwerken, door het inzetten van aangepaste malware en commerciële hulpmiddelen, met als doel het verzamelen van gegevens.
Silk Typhoon
In 2021 gebruikte Silk Typhoon (voorheen HAFNIUM) 0-day aanvallen om on-premises versies van Microsoft Exchange Server aan te vallen in beperkte en gerichte aanvallen.
Caramel Tsunami
Caramel Tsunami (voorheen SOURGUM) verkoopt in het algemeen cyberwapens, meestal malware en zero-day-bedreigingen, als onderdeel van een pakket 'hacken als een dienst'. Dit pakket wordt verkocht aan overheidsinstellingen en andere kwaadaardige actoren.
Caramel Tsunami
Caramel Tsunami (voorheen SOURGUM) verkoopt in het algemeen cyberwapens, meestal malware en zero-day-bedreigingen, als onderdeel van een pakket 'hacken als een dienst'. Dit pakket wordt verkocht aan overheidsinstellingen en andere kwaadaardige actoren.
Aqua Blizzard
Aqua Blizzard (voorheen ACTINIUM) gebruikt spear-phishing e-mails met schadelijke macrobijlagen die gebruikmaken van sjablonen op afstand. Het primaire doel van de activiteiten van Aqua Blizzard is om blijvende toegang te krijgen tot specifieke netwerken, door het inzetten van aangepaste malware en commerciële hulpmiddelen, met als doel het verzamelen van gegevens.
Diamond Sleet
Diamond Sleet (voorheen ZINC) is een bedreigingsactor die namens de Noord-Koreaanse overheid wereldwijde activiteiten uitvoert. Diamond Sleet is op zijn minst sinds 2009 actief en richt zich op media, defensie, informatietechnologie, wetenschappelijk onderzoek en beveiligingsonderzoekers met de focus op spionage, gegevensdiefstal, financieel gewin en de vernietiging van netwerken.
Forest Blizzard
Forest Blizzard (voorheen STRONTIUM) gebruikt een verscheidenheid aan technieken voor initiële toegang, inclusief het gebruikmaken van kwetsbare webgerichte toepassingen. Om referenties te verkrijgen maakt de actor gebruik van spear phishing en de implementatie van een hulpprogramma voor een geautomatiseerde wachtwoordspray/beveiligingsaanval die werkt via TOR
Midnight Blizzard
De actor die Microsoft bijhoudt als Midnight Blizzard (NOBELIUM) is een bedreigingsactor vanuit Rusland, toegeschreven door de overheden van de Verenigde Staten en het Verenigd Koninkrijk aan de Dienst Buitenlandse veiligheid van Rusland (SVR).
Volt Typhoon
De actor die Microsoft bijhoudt als Volt Typhoon is een nation-state activiteitengroep vanuit China. Volt Typhoon is gefocust op spionage, gegevensdiefstal en toegang tot referenties.
Plaid Rain
Sinds februari 2022 wordt waargenomen dat Plaid Rain (voorheen POLONIUM) voornamelijk organisaties in Israël aanvalt, met een focus op de essentiële productie-, IT- en Israëlische defensiesector.
Cadet Blizzard
Microsoft houdt Cadet Blizzard (voorheen DEV-0586) bij als een door de Russische staat gesponsorde bedreigingsactor die Microsoft begon te volgen na verstorende en destructieve gebeurtenissen die midden januari 2022 plaatsvonden bij meerdere overheidsinstanties in Oekraïne.
Crimson Sandstorm
Het is waargenomen dat actoren van Crimson Sandstorm (voorheen CURIUM) gebruikmaken van een netwerk van fictieve sociale media-accounts om het vertrouwen van doelwitten te winnen en malware te leveren om uiteindelijk gegevens te extraheren.
Diamond Sleet
Diamond Sleet (voorheen ZINC) is een bedreigingsactor die namens de Noord-Koreaanse overheid wereldwijde activiteiten uitvoert. Diamond Sleet is op zijn minst sinds 2009 actief en richt zich op media, defensie, informatietechnologie, wetenschappelijk onderzoek en beveiligingsonderzoekers met de focus op spionage, gegevensdiefstal, financieel gewin en de vernietiging van netwerken.
Gray Sandstorm
Gray Sandstorm (voorheen DEV-0343) voert uitgebreid wachtwoordspray uit via een geïmiteerde Firefox-browser en gebruikt IP's die worden gehost op een Tor-proxynetwerk. Meestal valt de groep tientallen tot honderden accounts aan binnen een organisatie, afhankelijk van de grootte. Elk account wordt tientallen tot duizenden keren opgesomd.
Silk Typhoon
In 2021 gebruikte Silk Typhoon (voorheen HAFNIUM) 0-day aanvallen om on-premises versies van Microsoft Exchange Server aan te vallen in beperkte en gerichte aanvallen.
Forest Blizzard
Forest Blizzard (voorheen STRONTIUM) gebruikt een verscheidenheid aan technieken voor initiële toegang, inclusief het gebruikmaken van kwetsbare webgerichte toepassingen. Om referenties te verkrijgen maakt de actor gebruik van spear phishing en de implementatie van een hulpprogramma voor een geautomatiseerde wachtwoordspray/beveiligingsaanval die werkt via TOR
Midnight Blizzard
De actor die Microsoft bijhoudt als Midnight Blizzard (NOBELIUM) is een bedreigingsactor vanuit Rusland, toegeschreven door de overheden van de Verenigde Staten en het Verenigd Koninkrijk aan de Dienst Buitenlandse veiligheid van Rusland (SVR).
Diamond Sleet
Diamond Sleet (voorheen ZINC) is een bedreigingsactor die namens de Noord-Koreaanse overheid wereldwijde activiteiten uitvoert. Diamond Sleet is op zijn minst sinds 2009 actief en richt zich op media, defensie, informatietechnologie, wetenschappelijk onderzoek en beveiligingsonderzoekers met de focus op spionage, gegevensdiefstal, financieel gewin en de vernietiging van netwerken.
Silk Typhoon
In 2021 gebruikte Silk Typhoon (voorheen HAFNIUM) 0-day aanvallen om on-premises versies van Microsoft Exchange Server aan te vallen in beperkte en gerichte aanvallen.
Volt Typhoon
De actor die Microsoft bijhoudt als Volt Typhoon is een nation-state activiteitengroep vanuit China. Volt Typhoon is gefocust op spionage, gegevensdiefstal en toegang tot referenties.
Plaid Rain
Sinds februari 2022 wordt waargenomen dat Plaid Rain (voorheen POLONIUM) voornamelijk organisaties in Israël aanvalt, met een focus op de essentiële productie-, IT- en Israëlische defensiesector.
Gray Sandstorm
Gray Sandstorm (voorheen DEV-0343) voert uitgebreid wachtwoordspray uit via een geïmiteerde Firefox-browser en gebruikt IP's die worden gehost op een Tor-proxynetwerk. Meestal valt de groep tientallen tot honderden accounts aan binnen een organisatie, afhankelijk van de grootte. Elk account wordt tientallen tot duizenden keren opgesomd.
Midnight Blizzard
De actor die Microsoft bijhoudt als Midnight Blizzard (NOBELIUM) is een bedreigingsactor vanuit Rusland, toegeschreven door de overheden van de Verenigde Staten en het Verenigd Koninkrijk aan de Dienst Buitenlandse veiligheid van Rusland (SVR).
Volt Typhoon
De actor die Microsoft bijhoudt als Volt Typhoon is een nation-state activiteitengroep vanuit China. Volt Typhoon is gefocust op spionage, gegevensdiefstal en toegang tot referenties.
Smoke sandstorm
In september 2021 compromitteerde Smoke Sandstorm (voorheen BOHRIUM/DEV-0056) e-mailaccounts van een IT-integratiebedrijf uit Bahrein. Dit bedrijf werkt aan IT-integratie met Bahreinse overheidsklanten, waarschijnlijk de uiteindelijke doelwitten van Smoke Sandstorm.
Silk Typhoon
In 2021 gebruikte Silk Typhoon (voorheen HAFNIUM) 0-day aanvallen om on-premises versies van Microsoft Exchange Server aan te vallen in beperkte en gerichte aanvallen.
Forest Blizzard
Forest Blizzard (voorheen STRONTIUM) gebruikt een verscheidenheid aan technieken voor initiële toegang, inclusief het gebruikmaken van kwetsbare webgerichte toepassingen. Om referenties te verkrijgen maakt de actor gebruik van spear phishing en de implementatie van een hulpprogramma voor een geautomatiseerde wachtwoordspray/beveiligingsaanval die werkt via TOR
Midnight Blizzard
De actor die Microsoft bijhoudt als Midnight Blizzard (NOBELIUM) is een bedreigingsactor vanuit Rusland, toegeschreven door de overheden van de Verenigde Staten en het Verenigd Koninkrijk aan de Dienst Buitenlandse veiligheid van Rusland (SVR).
Volt Typhoon
De actor die Microsoft bijhoudt als Volt Typhoon is een nation-state activiteitengroep vanuit China. Volt Typhoon is gefocust op spionage, gegevensdiefstal en toegang tot referenties.
Plaid Rain
Sinds februari 2022 wordt waargenomen dat Plaid Rain (voorheen POLONIUM) voornamelijk organisaties in Israël aanvalt, met een focus op de essentiële productie-, IT- en Israëlische defensiesector.
Hazel Sandstorm
Hazel Sandstorm (voorheen EUROPIUM) is openbaar gekoppeld aan het Iraanse ministerie voor Inlichtingen en Veiligheid (Ministry of Intelligence and Security, of MOIS). Microsoft heeft met veel zekerheid beoordeeld dat actoren die worden gesponsord door de Iraanse overheid op 15 juli 2022 een vernietigende cyberaanval hebben uitgevoerd op de Albanese overheid. Door deze aanval werden Albanese overheidswebsites en openbare diensten verstoord.
Cadet Blizzard
Microsoft houdt Cadet Blizzard (voorheen DEV-0586) bij als een door de Russische staat gesponsorde bedreigingsactor die Microsoft begon te volgen na verstorende en destructieve gebeurtenissen die midden januari 2022 plaatsvonden bij meerdere overheidsinstanties in Oekraïne.
Aqua Blizzard
Aqua Blizzard (voorheen ACTINIUM) gebruikt spear-phishing e-mails met schadelijke macrobijlagen die gebruikmaken van sjablonen op afstand. Het primaire doel van de activiteiten van Aqua Blizzard is om blijvende toegang te krijgen tot specifieke netwerken, door het inzetten van aangepaste malware en commerciële hulpmiddelen, met als doel het verzamelen van gegevens.
Nylon Typhoon
Nylon Typhoon (voorheen NICKEL) valt niet-gepatchte systemen aan om services en apparaten voor externe toegang te compromitteren. Na een succesvolle inbreuk maakt de groep gebruik van referentiedumpers of -stelers om legitieme referenties te verkrijgen. Met deze legitieme referenties krijgen ze toegang tot accounts van slachtoffers en tot systemen met een hogere waarde.
Crimson Sandstorm
Het is waargenomen dat actoren van Crimson Sandstorm (voorheen CURIUM) gebruikmaken van een netwerk van fictieve sociale media-accounts om het vertrouwen van doelwitten te winnen en malware te leveren om uiteindelijk gegevens te extraheren.
Diamond Sleet
Diamond Sleet (voorheen ZINC) is een bedreigingsactor die namens de Noord-Koreaanse overheid wereldwijde activiteiten uitvoert. Diamond Sleet is op zijn minst sinds 2009 actief en richt zich op media, defensie, informatietechnologie, wetenschappelijk onderzoek en beveiligingsonderzoekers met de focus op spionage, gegevensdiefstal, financieel gewin en de vernietiging van netwerken.
Gray Sandstorm
Gray Sandstorm (voorheen DEV-0343) voert uitgebreid wachtwoordspray uit via een geïmiteerde Firefox-browser en gebruikt IP's die worden gehost op een Tor-proxynetwerk. Meestal valt de groep tientallen tot honderden accounts aan binnen een organisatie, afhankelijk van de grootte. Elk account wordt tientallen tot duizenden keren opgesomd.
Manatee Tempest
Manatee Tempest (voorheen DEV-0243) is een bedreigingsactor die een onderdeel is van de ransomware als een dienst (ransomware as a service, of RaaS)-economie. De groep werkt samen met andere bedreigingsactoren om aangepaste Cobalt Strike-laders te bieden.
Wine tempest
Wine Tempest (voorheen PARINACOTA) gebruikt meestal door mensen beheerde ransomware voor aanvallen. Wadhrama-ransomware wordt het meest geïmplementeerd. Ze zijn vindingrijk, veranderen hun tactieken zodat ze passen bij hun behoeften en hebben gecompromitteerde computers gebruikt voor verschillende doelen, inclusief cryptoanalyse, e-mails met spam verzenden en proxy's gebruiken voor andere aanvallen.
Smoke sandstorm
In september 2021 compromitteerde Smoke Sandstorm (voorheen BOHRIUM/DEV-0056) e-mailaccounts van een IT-integratiebedrijf uit Bahrein. Dit bedrijf werkt aan IT-integratie met Bahreinse overheidsklanten, waarschijnlijk de uiteindelijke doelwitten van Smoke Sandstorm.
Pistachio Tempest
Pistachio Tempest (voorheen DEV-0237) is een groep die is gerelateerd aan de distributie van impactvolle ransomware. Microsoft heeft waargenomen dat Pistachio Tempest in de loop van de tijd verschillende ransomware-payloads heeft gebruikt. De groep experimenteert met nieuwe aanbiedingen van ransomware als een dienst (ransomware as a service, of RaaS), van Ryuk en Conti tot Hive, Nokoyawa en (het meest recent) Agenda en Mindware.
Periwinkle Tempest
Periwinkle Tempest (voorheen DEV-0193) is verantwoordelijk voor het ontwikkelen, distribueren en beheren van veel verschillende payloads, inclusief Trickbot, Bazaloader en AnchorDNS.
Caramel Tsunami
Caramel Tsunami (voorheen SOURGUM) verkoopt in het algemeen cyberwapens, meestal malware en zero-day-bedreigingen, als onderdeel van een pakket 'hacken als een dienst'. Dit pakket wordt verkocht aan overheidsinstellingen en andere kwaadaardige actoren.
Caramel Tsunami
Caramel Tsunami (voorheen SOURGUM) verkoopt in het algemeen cyberwapens, meestal malware en zero-day-bedreigingen, als onderdeel van een pakket 'hacken als een dienst'. Dit pakket wordt verkocht aan overheidsinstellingen en andere kwaadaardige actoren.
Silk Typhoon
In 2021 gebruikte Silk Typhoon (voorheen HAFNIUM) 0-day aanvallen om on-premises versies van Microsoft Exchange Server aan te vallen in beperkte en gerichte aanvallen.
Browsen op onderwerp
AI
Je beveiliging is zo goed als je bedreigingsinformatie
Inbreuken op zakelijke e-mail
De uitsplitsing van inbreuk op zakelijke e-mail
Ransomware
Bescherm je organisatie tegen ransomware
Maak kennis met de experts
Expertprofiel: Homa Hayatyfar
Homa Hayatyfar, Principal Data and Applied Science Manager, beschrijft het gebruik van Machine Learning-modellen om de verdediging te versterken. Dit is slechts één van de vele manieren waarop AI de aanblik van beveiliging verandert.
Maak kennis met de experts
Expertprofiel
Cyberbedreigingsinformatie in een geopolitieke context
Expertprofiel
Advies van een expert over de drie hardnekkigste uitdagingen van cyberbeveiliging
Expertprofiel
Beveiligingsonderzoeker Dustin Duran over hoe je kunt denken als een aanvaller
Verken informatierapporten
2023 Microsoft Digital Defense Report
De meest recente editie van het Microsoft Digital Defense Report verkent het zich ontwikkelende bedreigingslandschap en doorloopt mogelijkheden en uitdagingen van cyberweerbaarheid.
Praktische cyberverdediging onderhouden
Cyberhygiëne
Fundamentele cyberhygiëne voorkomt 99% van de aanvallen
Bedreigingsopsporing
Leer de basisbeginselen voor het opsporen van bedreigingen
Cybercriminaliteit
Cybercriminelen tegenhouden die beveiligingshulpmiddelen voor eigen gewin willen inzetten
Aan de slag
Neem deel aan gebeurtenissen van Microsoft
Breid je expertise uit, leer nieuwe vaardigheden en bouw een community op met gebeurtenissen en trainingsmogelijkheden van Microsoft.
Neem contact met ons op
Microsoft volgen