Uhkametsa

Tervehdys Uhkametsältä TAAS! Uusimmassa jaksossa käsitellään tekoälyn luomia mahdollisuuksia ja parannuksia SOC ja Incident Response työhön ja tarkastellaan miksi kiristyshaittaohjelmahyökkäykset ovat katoava luonnonvara. Jakson alussa myös lyhyt pohjustus miksi seuraava jakso julkaistaan jo näin pian edellisen jälkeen! Tervetuloa kuulemaan Uhkametsän osittaista paluuta juurilleen uhkien ja ajankohtaisten kybertapahtumien pariin. Instagram: https://www.instagram.com/uhkametsa/ Linkedin: https://www.linkedin.com/company/uhkametsa/

Tervehdys Uhkametsältä pitkästä aikaa! Pienen hiljaiselon jälkeen tarkastellaan Disobey 2026 tapahtuman parhaita hetkiä ja käsitellään myös (todennäköisesti) Sandworm APT ryhmän edesottamuksia Puolan energiasektoria vastaan. Tervetuloa kuulolle taas! Jakson lähteet: https://therecord.media/russia-eset-sandworm-poland-hack https://www.gov.pl/web/primeminister/poland-stops-cyberattacks-on-energy-infrastructure Instagram: https://www.instagram.com/uhkametsa/ Linkedin: https://www.linkedin.com/company/uhkametsa/

Uhkametsältä toivotamme kaikille kuulijoille ja katsojille hyvää uutta vuotta 2026! Tämän kertaisessa UV-jaksossa otetaan katsaus menneeseen vuoteen sekä tehdään ennusteita vuoden 2026 uhkakentälle. Spoilerina ransomware ei ehkä ole enää suurin uhka! Miltä uhkakenttä näyttää teidän mielestä vuonna 2026? Instagram: https://www.instagram.com/uhkametsa/ Linkedin: https://www.linkedin.com/company/uhkametsa/

Kaamoksen täyteiset terveiset Uhkametsältä! Tämän kertaisessa jaksossa perehdytään näkyvyyden parantumiseen Windows ympäristöissä Sysmonin avulla, käsitellään koneoppimisen ja generatiivisen tekoälyn käyttötapauksia ja mahdollisuuksia. Jakson loppupuolella otetaan täyskäännös ja ihmetellään pilviympäristöissä tapahtuvia pahuuksia ja miten identiteetti on kaiken keskiössä. Tervetuloa kuulolle! Jakson linkit: Sysmon natiivina Windows 11 + Windows Server 2025 laitteilla: https://techcommunity.microsoft.com/blog/windows-itpro-blog/native-sysmon-functionality-coming-to-windows/4468112 Microsoft Defender aineiston keruu / konfigurointi: https://falconforce.nl/microsoft-defender-for-endpoint-internal-0x06-custom-collection/ Blob storagen käyttö pahuudessa: https://www.microsoft.com/en-us/security/blog/2025/10/20/inside-the-attack-chain-threat-activity-targeting-azure-blob-storage/ Instagram: https://www.instagram.com/uhkametsa/ Linkedin: https://www.linkedin.com/company/uhkametsa/

🐗 Tervehdys Uhkametsältä! Tässä jaksossa Jounia ja Juusoa puhuttaa mm. miten päästä puolustavan kyberin oppimispolulle, Jounin hieno TI dashBOAR, Microsoft Digital Defense Report 2025 sekä tulevaisudeen näkymät data lake ratkaisuille SecOps maailmassa. Ja älkää huoliko, kyllä meidän kuulumisetkin käydään läpi! Tervetuloa kuulolle 🐗 Jakson linkit: Maanpuolustuskoulutusyhdistyksen kyberkurssit: https://mpk.fi/koulutukset/kyber-ja-informaatioturvallisuus/ Jounin TI DashBOAR: https://tidashboar.threathunt.blog/ Microsoft Digital Defense Report 2025: https://www.microsoft.com/en-us/corporate-responsibility/cybersecurity/microsoft-digital-defense-report-2025/ Sentinel Data Lake: https://learn.microsoft.com/en-us/azure/sentinel/datalake/sentinel-lake-overview Instagram: https://www.instagram.com/uhkametsa/ Linkedin: https://www.linkedin.com/company/uhkametsa/

🤖 Tekoälyaiheita havaittavissa! Tässä jaksossa käsitellään AI vs AI ilmiötä ja tästä päästään Uhkikselle tuttuun tapaan sivuraiteille (eikä edes niin vähän). Keskustellaan mm. käyttötapauksista mitä AI voisi tehdä DFIR tutkijoille tulevaisuudessa. Tässä jaksossa myös kuultavissa historian huonoin loppukevennys 😹 Lähteet: Ai vs Ai: https://www.microsoft.com/en-us/security/blog/2025/09/24/ai-vs-ai-detecting-an-ai-obfuscated-phishing-campaign/ Ransomware lentokenttä: https://www.securityweek.com/european-airport-cyberattack-linked-to-obscure-ransomware-suspect-arrested/ Instagram: https://www.instagram.com/uhkametsa/ Linkedin: https://www.linkedin.com/company/uhkametsa/

Räjähdys menneisyydestä! Uhkametsä käsittelee tällä kertaa kuulumisten lisäksi Akira kiristyshaittaohjelmaan johtaneita skenaarioita ja miten näiltä voidaan puolustautua. Nimestä voikin päätellä, että jaksossa törmätään vanhoihin tuttuihin (bzz bzz!!!). Instagram: https://www.instagram.com/uhkametsa/ Linkedin: https://www.linkedin.com/company/uhkametsa/

Keskustelemme tällä kertaa tekoälyn hyödyntämisestä organisaation kyberturvaamiseen. Jakso koostuu lähinnä omista ajatuksistamme miten tekoälyä voisi hyödyntää, mutta valmiita ratkaisuja emme tarjoa. Instagram: https://www.instagram.com/uhkametsa/ Linkedin: https://www.linkedin.com/company/uhkametsa/

Tällä kertaa Uhkametsä keskittyy kyberiin ja jaksossa otetaan katsaus kahteen APT ryhmään ja myöskin BYOVD -tekniikkaan. Instagram: https://www.instagram.com/uhkametsa/ Linkedin: https://www.linkedin.com/company/uhkametsa/

Jaksossa jutustellaan Sectop rotasta ja IDAT laturista tutkinnan näkökulmasta ja myöskin viime aikaisista hyökkäyksistä jotka ovat kohdistuneet muun muassa M&S:n. Instagram: https://www.instagram.com/uhkametsa/ Linkedin: https://www.linkedin.com/company/uhkametsa/

Jakson kuulumiset menee Jounin tekoälykiemuroiden parissa ja kyberosio jakautuu kahtia clickfix nimisen haitakkeen ja oraakkelin potentiaalisen tietomurron parissa. Instagram: https://www.instagram.com/uhkametsa/ Linkedin: https://www.linkedin.com/company/uhkametsa/

Uhkametsän jaksot jatkuu nyt myös Podcastina! Pääpointti on Youtuben puolella mutta päätimme myös jatkaa jaksojen julkaisua podcast-muodossa kun tästä tuli myös toiveita. Tällä kertaa paljon kuulumisia sekä keskustelua DFIR-tutkintojen aikana havaitusta haasteista joita me olemme kohdanneet. Instagram: https://www.instagram.com/uhkametsa/ Linkedin: https://www.linkedin.com/company/uhkametsa/

Ilman sen kummempia kaunisteluja, Uhkametsän taru ainakin podcastin formaatissa on ohitse. Kuuntele lyhyt jakso, jossa kerromme lisää tästä päätöksestä. Kiitos kaikille kuulijoille Uhkametsän noin kahden vuoden taipaleen ajalta. Tulemme jatkossakin tekemään sisältöä, mutta enemmän Youtuben puolelle. Tämän päätöksen syitä avaamme myös jaksossa. Linkki Youtubeen: https://www.youtube.com/@ThreatForest Instagram: https://www.instagram.com/uhkametsa/ Linkedin: https://www.linkedin.com/company/uhkametsa/

Liity seuraamme, kun selvitämme tietovarkaiden kehitystä ja tarkastelemme kahta tuoretta tietovarasta Fickle Stealeria ja Medusa Stealeria. Rust-kielellä kirjoitettu Fickle Stealer käyttää hämäystä ja salaista viestintää kohdistuakseen laajaan valikoimaan arkaluonteisia tietoja, henkilökohtaisista identiteeteistä kryptovaluuttalompakoihin. Medusa Stealer hyökkää ensisijaisesti Windows-järjestelmiin, varastaen verkkosalasanoja ja kryptolompakoita edistyneillä tekniikoilla. Teemme katsauksen tutkintaprosesseihin, joita käytetään näiden haitallisten työkalujen analysointiin, sekä metsästykseen. Käsittelemme myös kuulijapalautetta, sekä vihjaamme tulevista tapahtumista. Pysy kyberuhkien edellä kanssamme! Instagram: https://www.instagram.com/uhkametsa/ Linkedin: https://www.linkedin.com/company/uhkametsa/

PALAUTEKYSELY JAKSOSTA JA YLEISESTI UHKAMETSÄSTÄ: https://qup4621yg.supersurvey.com Mitä tekisit, jos yrityksesi joutuisi yhtäkkiä yhden maailman pahamaineisimman uhkaryhmän saartamaksi? Tässä jaksossa kerrotaan hermoja raastavasta koettelemuksesta, jonka rakastettu suomalainen makkarayritys Matin Nakki Oy koki joutuessaan kehittyneen kyberhyökkäyksen kohteeksi Moonstone Sleetin toimesta vuonna 2024. Liity seuraamme, kun seuraamme IT-päällikkö Jaria ja hänen tiimiään heidän tehdessään raskaita päätöksiä ja valvoessaan öitä yrittäessään saada järjestelmänsä takaisin hallintaansa vakavan kiristyshaittaohjelmauhan keskellä. Todista dramaattisia hetkiä, kun he tasapainottelevat lunnaiden maksamisen ja Kyberturvallisuuskeskuksen ohjeiden noudattamisen välillä. Tutustu kyberhyökkäysten nopeaan ja huomaamattomaan luonteeseen, joka voi tuhota jopa parhaiten valmistautuneet organisaatiot. Syvennymme asiantuntevien incident response -tiimien kriittiseen rooliin.. Jarin ja hänen tiiminsä kokema emotionaalinen ja operatiivinen rasitus korostaa vahvojen kyberturvallisuustoimenpiteiden välttämättömyyttä. Lopuksi pohdimme yksityisten yritysten ja kyberturvallisuusviranomaisten monimutkaisia vuorovaikutuksia kriisitilanteessa. Matin Nakki Oy:n tarina korostaa ajantasaisen tietosuojan ja raportoinnin tärkeyttä vakavien GDPR-sanktioiden välttämiseksi. Lopetamme jaksomme jakamalla jännittäviä suunnitelmiamme laajentaa Uhkametsää audiovisuaaliseen sisältöön ja Juuson viimeisimpiä , samalla kutsuen kuulijoiden palautetta auttamaan tulevien keskustelujemme parantamisessa. Liity seuraamme jaksoon, joka on täynnä arvokkaita oivalluksia, dramaattisia kertomuksia ja kurkistuksia tulevaisuuden suunnitelmiimme. Instagram: https://www.instagram.com/uhkametsa/ Linkedin: https://www.linkedin.com/company/uhkametsa/

Tänään metsällä puhutaan muutamista eri aiheista, joista eniten aikaa vietetään hypoteesin luomisen tuskan parissa. Käymme siis läpi ajatuksia miten luoda uhkametsästys hypoteeseja, ehkä eniten suunnattuna aloitteleville metsästäjille. Kokeneet metsästäjät eivät tästä välttämättä kauheasti koosta, mutta ehkäpä jotain hyviä vinkkejä voi tarttua teillekin. Samalla mietitään voiko GenAi auttaa hypoteesin luomisen kanssa. Tässä listaa päivän aiheista: Lähteet: https://www.bleepingcomputer.com/news/security/arc-browsers-windows-launch-targeted-by-google-ads-malvertising/ https://www.theregister.com/2024/05/23/ransomware_abuses_microsoft_bitlocker/ https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2024/05/13125640/Kaspersky-IR_Analyst_report_2023_EN.pdf https://securelist.com/trusted-relationship-attack/112731/ https://www.microsoft.com/en-us/security/blog/2024/05/28/moonstone-sleet-emerges-as-new-north-korean-threat-actor-with-new-bag-of-tricks/ https://haveibeenpwned.com/DomainSearch https://www.europol.europa.eu/media-press/newsroom/news/largest-ever-operation-against-botnets-hits-dropper-malware-ecosystem https://securelist.com/trusted-relationship-attack/112731/ Instagram: https://www.instagram.com/uhkametsa/ Linkedin: https://www.linkedin.com/company/uhkametsa/

Tässä jaksossa Uhkametsä uudistuu hieman ja tuomme uusia eläinaiheisia ääniä jaksoon. Tarkkakuuloisimmat saattavatkin tunnistaa muutaman tutun eläimen jakson aikana! Jaksossa käsitellään mm. MITREen kohdistunutta hyökkäystä, identiteetteihin kohdistuvia uhkia ja näiden metsästystä ja tuttuun tapaan myös huonoja uutisia laidasta laitaan. Lähdeluettelo: Juuson esitys Elisan kyberturvailtapäivässä: https://cloud.viestinta.elisa.fi/kyberturva-tallenne MITREen kohdistunut hyökkäys: https://medium.com/mitre-engenuity/advanced-cyber-threats-impact-even-the-most-prepared-56444e980dc8 MITRE hyökkäyksen tekninen läpikäynti: https://medium.com/mitre-engenuity/technical-deep-dive-understanding-the-anatomy-of-a-cyber-intrusion-080bddc679f3 MITRE Attack Flow työkalu: https://center-for-threat-informed-defense.github.io/attack-flow/builder/ MITRE Attack Flow NERVE verkosta: https://center-for-threat-informed-defense.github.io/attack-flow/ui/?src=..%2fcorpus%2fMITRE%20NERVE.afb Forensiset artifaktit identiteettitutkintaan: https://techcommunity.microsoft.com/t5/microsoft-security-experts-blog/forensic-artifacts-in-office-365-and-where-to-find-them/ba-p/3634865 Unified Audit Log kirjoitus: https://techcommunity.microsoft.com/t5/microsoft-security-experts-blog/good-ual-hunting/ba-p/3718421 Hijack loader artikkeli: https://thehackernews.com/2024/05/hijack-loader-malware-employs-process.html Hijackin tekninen läpikatsaus: https://www.crowdstrike.com/blog/hijackloader-expands-techniques/ SocGholish artikkeli: https://www.esentire.com/blog/socgholish-sets-sights-on-victim-peers BlackBasta artikkeli: https://www.darkreading.com/cyberattacks-data-breaches/500-victims-later-black-basta-reinvents-novel-vishing-strategy CISA vaatii toimenpiteitä BlackBastan hyökättyä Acensioniin: https://www.theregister.com/2024/05/13/cisa_ascension_ransomware/ Lisää BlackBastaa: https://thehackernews.com/2024/05/black-basta-ransomware-strikes-500.html CISA julkaisema advisory: https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-131a BlackBasta ja Ascension hyökkäys: https://www.beckershospitalreview.com/cybersecurity/how-the-ransomware-group-linked-to-ascension-hack-operates.html BlackBastan hyökkäys kriittiseen infrastruktuuriin: https://arstechnica.com/security/2024/05/black-basta-ransomware-group-is-imperiling-critical-infrastructure-groups-warn/ Qakbot 0-päivä: https://securelist.com/cve-2024-30051/112618/ GitHub haittaohjelmakäytössä: https://go.recordedfuture.com/hubfs/reports/cta-2024-0514.pdf Instagram: https://www.instagram.com/uhkametsa/ Linkedin: https://www.linkedin.com/company/uhkametsa/

Tällä kertaa metsällä puhutaan ensin Uhkametsän ominta omaa, eli käytänteitä! Fear not, ainakin puhumme sentään ensivasteen, eli Incident Responsen, käytännöistä ja enemmänkin siitä, että millaisia rooleja Majuri Poikkeamassa voi olla. Toki myös muutenkin viitataan käytäteisiin näiden roolien pohjalta. Tästä siirrytään kätevästi sitten huonoihin uutisiin jossa mm hienoa nallea, Lazaruksen rottaa ja myöskin hieman asiaa identiteettiä koskevasta uhkametsästyksestä! Lähteet: https://www.microsoft.com/en-us/security/blog/2023/12/11/new-microsoft-incident-response-team-guide-shares-best-practices-for-security-teams-and-leaders/ https://www.youtube.com/watch?v=0M55onu7mVI https://thehackernews.com/2024/04/coralraider-malware-campaign-exploits.html https://securityaffairs.com/162333/cyber-crime/swedens-liquor-supply-ransomware-attack.html https://www.scmagazine.com/brief/third-party-ransomware-attack-threatens-swedens-liquor-supply https://thehackernews.com/2024/04/north-koreas-lazarus-group-deploys-new.html https://blog.qualys.com/vulnerabilities-threat-research/2024/04/24/arcanedoor-unlocked-tackling-state-sponsored-cyber-espionage-in-network-perimeters https://security.googleblog.com/2024/04/detecting-browser-data-theft-using.html https://techcommunity.microsoft.com/t5/microsoft-security-experts-blog/hunting-in-azure-subscriptions/ba-p/4125875 https://twitter.com/Cryptolaemus1/status/1785423804577034362 https://www.microsoft.com/en-us/security/blog/2024/04/22/analyzing-forest-blizzards-custom-post-compromise-tool-for-exploiting-cve-2022-38028-to-obtain-credentials/ Instagram: https://www.instagram.com/uhkametsa/ Linkedin: https://www.linkedin.com/company/uhkametsa/

Tässä jaksossa käydään vähän rästejä läpi ja käsitellään 12 huonoa uutista! Tämä jakso onkin varmasti kaikille Uhkametsän huonojen uutisten faneille mieleinen! Käydään läpi Sandwormia (kahteen kertaan), uusia lastaajia, haavoittuvuuksia sekä Windowsin tuntemattomampia ominaisuuksia. Tervetuloa kuulolle! Jakson lähdemateriaali enemmän tai vähemmän järjestyksessä: Mandiantin Sandworm raportti: https://services.google.com/fh/files/misc/apt44-unearthing-sandworm.pdf Palo Alto SSL VPN haavoittuvuus: https://unit42.paloaltonetworks.com/cve-2024-3400/#post-133365-_vgezw6a4uez Palo Alto SSL VPN osa 2: https://www.theregister.com/2024/04/17/researchers_exploit_code_for/ TA544 uutisia: https://www.proofpoint.com/us/threat-insight/post/threat-actor-profile-ta544-targets-geographies-italy-japan-range-malware WikiLoader IOC: https://github.com/pr0xylife/WikiLoader/blob/main/WikiLoader_17.04.2024.txt Tekoälyn kirjoittamaa PowerShelliä: https://www.bleepingcomputer.com/news/security/malicious-powershell-script-pushing-malware-looks-ai-written/ Vadelmatipun uudet kujeet: https://thehackernews.com/2024/04/raspberry-robin-returns-new-malware.html?m=1 Taikurikärry: https://www.darkreading.com/cloud-security/magecart-attackers-pioneer-persistent-ecommerce-backdoor Taikurikärry Darknet Diaries kuuntelusuositus: https://darknetdiaries.com/episode/52/ https://sansec.io/research/magento-xml-backdoor Latrodectus lastaaja: https://www.bleepingcomputer.com/news/security/new-latrodectus-malware-replaces-icedid-in-network-breaches/#google_vignette Latrodectus #2: https://www.hackread.com/latrodectus-downloader-malware-icedid-qbot/ SVG tiedostot: https://cofense.com/blog/svg-files-abused-in-emerging-campaigns/ Kapeka haittaohjelma: https://therecord.media/sandworm-backdoor-malware-eastern-europe-kapeka Windowsin kuidut ja säikeet: https://www.darkreading.com/application-security/sneaky-shellcode-windows-fibers-edr-proof-code-execution NordVPN typosquatting ja malvertising: https://www.scmagazine.com/news/bing-ad-posing-as-nordvpn-aims-to-spread-sectoprat-malware Instagram: https://www.instagram.com/uhkametsa/ Linkedin: https://www.linkedin.com/company/uhkametsa/

Tällä kertaa Uhkametsällä puhutaan Kiinan valtion suorittamista kyberoperaatioista muita maita kohtaan. Jaksossa puhutaan siis APT31:n touhuista joka on liipannut läheisesti myös Suomea. Jakson perustana toimii Yhdysvaltain syyte seitsemää henkilöä vastaan jotka ovat syytteen mukaan olleet osallisina Kiinan suorittamissa operaatioissa. Eli kyseessä on Juuson terminologian mukaan jälleenkin Teemajakso! Lähteet: https://www.justice.gov/opa/media/1345141/dl?inline https://home.treasury.gov/news/press-releases/jy2205 https://www.justice.gov/opa/pr/seven-hackers-associated-chinese-government-charged-computer-intrusions-targeting-perceived https://yle.fi/a/74-20081005 https://www.is.fi/digitoday/tietoturva/art-2000010319962.html https://www.is.fi/digitoday/tietoturva/art-2000007867387.html Instagram: https://www.instagram.com/uhkametsa/ Linkedin: https://www.linkedin.com/company/uhkametsa/