Hankige teadmisi otse ekspertidelt Microsofti ohuanalüüsi netisaatest. Kuulake kohe.
Security Insider
Ohuanalüüs ja praktilised ülevaated pakuvad kaitset
Tärkavad ohud
2023. aasta ohuanalüüsi valdkonnas: olulised ülevaated ja arengud
Microsofti ohuanalüüsi meeskond teeb kokkuvõte 2023. aasta olulisematest küberohustajate tehnikate, taktikate ja protseduuridega (TTP) seotud trendidest.
Viimased uudised
Küberohustajate ülevaade
Microsoft Security jälgib aktiivselt nii riiklikult mahitatud küberohustajaid kui ka neid, kes kasutavad lunavara või tegelevad muu kuritegevusega. Siinsed ülevaated kajastavad Microsofti turbeteenuse ohu-uurijate hiljuti avaldatud seisukohti ning moodustavad keskse kataloogi, kuhu on viidatud ajaveebiartiklitest koondatud ründajate profiilid.
Mint Sandstorm
Mint Sandstorm (varasema koodnimega PHOSPHORUS) proovib enamasti rünnata inimeste isiklikke kontosid, kasutades harpuunimist ja manipuleerimist, et ohvritega enne nende sihikule võtmist tutvust teha.
Manatee Tempest
Manatee Tempest (varasema koodnimega DEV-0243) on küberohustaja, kes osaleb teenusena pakutava lunavara (RaaS) majanduses, pakkudes koostöös teiste küberohustajatega kohandatud Cobalt Strike’i laadureid.
Wine Tempest
Wine Tempest (varasema koodnimega PARINACOTA) kasutab rünnete jaoks enamasti inimjuhitavat lunavara; kõige sagedamini juurutab see rühmitus Wadhrama lunavara. Rühmitus on leidlik, muutes vastavalt vajadusele oma taktikat, ning ründe ohvriks langenud arvuteid on nad kasutanud mitmel otstarbel, näiteks krüptoraha kaevandamiseks, rämpsposti saatmiseks või teiste rünnete puhvrina.
Smoke Sandstorm
Smoke Sandstorm (varasema koodnimega BOHRIUM/DEV-0056) murdis septembris 2021 sisse ühe Bahreinis asuva IT integreerimise ettevõtte meilikontodele. See ettevõte teeb IT integreerimise valdkonnas koostööd Bahreini riigiasutustest klientidega, kes olid tõenäoliselt Smoke Sandstormi tegelikuks sihtmärgiks.
Storm-0530
Põhja-Koreas asuvate küberohustajate rühmitus, keda Microsoft jälgib koodnimega Storm-0530 (varem DEV-0530), on lunavara välja töötanud ja rünnetes kasutanud alates juunist 2021.
Silk Typhoon
2021. aastal kasutas Silk Typhoon (varasema koodnimega HAFNIUM) nullpäevaeksploite Microsoft Exchange Serveri kohapealsete versioonide ründamiseks. Ründed olid oma ulatuselt piiratud ja täpselt sihitud.
Forest Blizzard
Forest Blizzard (varasema koodnimega STRONTIUM) kasutab mitmesuguseid esialgse juurdepääsu tehnikaid, sealhulgas veebiliidesega rakenduste nõrkuste eksploite ning identimisteabe hankimiseks ka harpuunimist ja TOR-i kaudu töötavat automaatset paroolisimultaani/jõuründe tööriista.
Midnight Blizzard
Ründaja, keda Microsoft jälgib Midnight Blizzardi (NOBELIUM) nime all, on Venemaal asuv küberohustaja, keda Ameerika Ühendriigid ja Ühendkuningriik seostavad Venemaa välisluureteenistusega (SVR).
Volt Typhoon
Ründaja, kelle tegevust Microsoft jälgib koodnime Volt Typhoon all, on Hiinas asuv riiklikult mahitatud rühmitus. Peamiselt tegeleb Volt Typhoon spionaaži, andmevarguse ja identimisteabele juurdepääsu saamisega.
Plaid Rain
Alates veeburarist 2022 on Plaid Rain (varasema koodnimega POLONIUM) peamiselt võtnud sihikule Iisraelis asuvad asutused ja ettevõtted, pöörates põhitähelepanu kriitilise tähtsusega tootmisettevõtetele, IT-valdkonnale ja Iisraeli kaitsetööstusele.
Hazel Sandstorm
Hazel Sandstormi (varasema koodnimega EUROPIUM) on avalikult seostatud Iraani luure ja julgeoleku ministeeriumiga (MOIS). Microsoft võib analüüsiandmetele tuginedes suure kindlusega väita, et 15. juulil 2022 korraldasid Iraani valitsuse toetatud ründajad hävitava küberründe Albaania valitsuse vastu, halvates riiklike veebisaitide ja avalike teenuste töö.
Cadet Blizzard
Microsoft jälgib Cadet Blizzardit (varasema koodnimega DEV-0586) Venemaa riiklikult mahitatud küberohustajana, mille tegevusel Microsoft hakkas silma peal hoidma pärast 2022. aasta jaanuari keskel mitmes Ukraina riigiasutuses aset leidnud halvavaid ja hävitavaid sündmusi.
Pistachio Tempest
Pistachio Tempest (varasema koodnimega DEV-0237) on rühmitus, keda seostatakse suure mõjuga lunavara levitamisega. Microsoft on jälginud Pistachio Tempesti tegevust aja jooksul: rühmitus on kasutanud mitmesuguseid lunavaralaste, katsetades uusi teenusena pakutava lunavara (RaaS) pakkumisi (sh näiteks Ryuk ja Conti, Hive, Nokoyawa ning viimasel ajal ka Agenda ja Mindware).
Periwinkle Tempest
Periwinkle Tempest (varasema koodnimega DEV-0193) on vastutav paljude lastide (sh Trickbot, Bazaloader ja AnchorDNS) väljatöötamise, levitamise ja haldamise eest.
Caramel Tsunami
Caramel Tsunami (varasema koodnimega SOURGUM) müüb riigiasutustele ja teistele ründajatele häkkimisteenuse paketi raames küberrelvi, enamasti ründevara ja nullpäevaeksploite.
Aqua Blizzard
Aqua Blizzard (varasema koodnimega ACTINIUM) kasutab harpuunimissõnumeid, millele manustatud ründemakrod võtavad kasutusele kaugmallid. Aqua Blizzardi tegevuse peamine eesmärk on saada sihitud võrkudele luureteabe kogumiseks püsijuurdepääs, kasutades selleks nii kohandatud ründevara kui ka kommertstööriistu.
Nylon Typhoon
Nylon Typhoon (varasema koodnimega NICKEL) kasutab paikamata süsteemide vastu eksploite, et murda sisse kaugpöördusteenustesse ja -seadmetesse. Eduka sissetungikatse korral on nad kasutanud identimisteabe tõmmistamist või vargustööriistu ehtsa identimisteabe hankimiseks, et selle abil pääseda juurde ohvri kontodele ja sealtkaudu väärtuslikumatele süsteemidele.
Crimson Sandstorm
Crimson Sandstormi (varasema koodnimega CURIUM) kuuluvaid ründajaid on märgatud kasutamas sotsiaalmeedia libakontode võrgustikku, mille kaudu luuakse sihtmärkidega usalduslik suhe, toimetamaks andmete varastamiseks nende seadmesse ründevara.
Diamond Sleet
Diamond Sleet (varasema koodnimega ZINC) on Põhja-Korea valitsuse huvides tegutsev globaalse haardega küberohustaja. Juba vähemalt 2009. aastast alates aktiivselt tegutsenud Diamond Sleeti sihtmärkide hulgas on olnud ajakirjandus, kaitsetööstus, IT-sektor, teadusuuringutega tegelevad asutused ning turbevaldkonna teadlased; rühmitus keskendub spionaažile, andmevargusele, rahalisele kasule ja võrkude hävitamisele.
Gray Sandstorm
Gray Sandstorm (varasema koodnimega DEV-0343) korraldab ulatuslikke paroolisimultaane, jäljendades Firefoxi brauserit ja kasutades Tori puhverserverite võrgus majutatud IP-sid. Enamasti sihivad nad ühes organisatsioonis kümneid kuni sadu kontosid (olenevalt asutuse või ettevõtte suurusest) ja teevad igale kontole kümneid kuni tuhandeid päringuid.
Plaid Rain
Alates veeburarist 2022 on Plaid Rain (varasema koodnimega POLONIUM) peamiselt võtnud sihikule Iisraelis asuvad asutused ja ettevõtted, pöörates põhitähelepanu kriitilise tähtsusega tootmisettevõtetele, IT-valdkonnale ja Iisraeli kaitsetööstusele.
Volt Typhoon
Ründaja, kelle tegevust Microsoft jälgib koodnime Volt Typhoon all, on Hiinas asuv riiklikult mahitatud rühmitus. Peamiselt tegeleb Volt Typhoon spionaaži, andmevarguse ja identimisteabele juurdepääsu saamisega.
Mint Sandstorm
Mint Sandstorm (varasema koodnimega PHOSPHORUS) proovib enamasti rünnata inimeste isiklikke kontosid, kasutades harpuunimist ja manipuleerimist, et ohvritega enne nende sihikule võtmist tutvust teha.
Silk Typhoon
2021. aastal kasutas Silk Typhoon (varasema koodnimega HAFNIUM) nullpäevaeksploite Microsoft Exchange Serveri kohapealsete versioonide ründamiseks. Ründed olid oma ulatuselt piiratud ja täpselt sihitud.
Forest Blizzard
Forest Blizzard (varasema koodnimega STRONTIUM) kasutab mitmesuguseid esialgse juurdepääsu tehnikaid, sealhulgas veebiliidesega rakenduste nõrkuste eksploite ning identimisteabe hankimiseks ka harpuunimist ja TOR-i kaudu töötavat automaatset paroolisimultaani/jõuründe tööriista.
Midnight Blizzard
Ründaja, keda Microsoft jälgib Midnight Blizzardi (NOBELIUM) nime all, on Venemaal asuv küberohustaja, keda Ameerika Ühendriigid ja Ühendkuningriik seostavad Venemaa välisluureteenistusega (SVR).
Plaid Rain
Alates veeburarist 2022 on Plaid Rain (varasema koodnimega POLONIUM) peamiselt võtnud sihikule Iisraelis asuvad asutused ja ettevõtted, pöörates põhitähelepanu kriitilise tähtsusega tootmisettevõtetele, IT-valdkonnale ja Iisraeli kaitsetööstusele.
Aqua Blizzard
Aqua Blizzard (varasema koodnimega ACTINIUM) kasutab harpuunimissõnumeid, millele manustatud ründemakrod võtavad kasutusele kaugmallid. Aqua Blizzardi tegevuse peamine eesmärk on saada sihitud võrkudele luureteabe kogumiseks püsijuurdepääs, kasutades selleks nii kohandatud ründevara kui ka kommertstööriistu.
Crimson Sandstorm
Crimson Sandstormi (varasema koodnimega CURIUM) kuuluvaid ründajaid on märgatud kasutamas sotsiaalmeedia libakontode võrgustikku, mille kaudu luuakse sihtmärkidega usalduslik suhe, toimetamaks andmete varastamiseks nende seadmesse ründevara.
Gray Sandstorm
Gray Sandstorm (varasema koodnimega DEV-0343) korraldab ulatuslikke paroolisimultaane, jäljendades Firefoxi brauserit ja kasutades Tori puhverserverite võrgus majutatud IP-sid. Enamasti sihivad nad ühes organisatsioonis kümneid kuni sadu kontosid (olenevalt asutuse või ettevõtte suurusest) ja teevad igale kontole kümneid kuni tuhandeid päringuid.
Silk Typhoon
2021. aastal kasutas Silk Typhoon (varasema koodnimega HAFNIUM) nullpäevaeksploite Microsoft Exchange Serveri kohapealsete versioonide ründamiseks. Ründed olid oma ulatuselt piiratud ja täpselt sihitud.
Forest Blizzard
Forest Blizzard (varasema koodnimega STRONTIUM) kasutab mitmesuguseid esialgse juurdepääsu tehnikaid, sealhulgas veebiliidesega rakenduste nõrkuste eksploite ning identimisteabe hankimiseks ka harpuunimist ja TOR-i kaudu töötavat automaatset paroolisimultaani/jõuründe tööriista.
Volt Typhoon
Ründaja, kelle tegevust Microsoft jälgib koodnime Volt Typhoon all, on Hiinas asuv riiklikult mahitatud rühmitus. Peamiselt tegeleb Volt Typhoon spionaaži, andmevarguse ja identimisteabele juurdepääsu saamisega.
Periwinkle Tempest
Periwinkle Tempest (varasema koodnimega DEV-0193) on vastutav paljude lastide (sh Trickbot, Bazaloader ja AnchorDNS) väljatöötamise, levitamise ja haldamise eest.
Caramel Tsunami
Caramel Tsunami (varasema koodnimega SOURGUM) müüb riigiasutustele ja teistele ründajatele häkkimisteenuse paketi raames küberrelvi, enamasti ründevara ja nullpäevaeksploite.
Cadet Blizzard
Microsoft jälgib Cadet Blizzardit (varasema koodnimega DEV-0586) Venemaa riiklikult mahitatud küberohustajana, mille tegevusel Microsoft hakkas silma peal hoidma pärast 2022. aasta jaanuari keskel mitmes Ukraina riigiasutuses aset leidnud halvavaid ja hävitavaid sündmusi.
Plaid Rain
Alates veeburarist 2022 on Plaid Rain (varasema koodnimega POLONIUM) peamiselt võtnud sihikule Iisraelis asuvad asutused ja ettevõtted, pöörates põhitähelepanu kriitilise tähtsusega tootmisettevõtetele, IT-valdkonnale ja Iisraeli kaitsetööstusele.
Mint Sandstorm
Mint Sandstorm (varasema koodnimega PHOSPHORUS) proovib enamasti rünnata inimeste isiklikke kontosid, kasutades harpuunimist ja manipuleerimist, et ohvritega enne nende sihikule võtmist tutvust teha.
Smoke Sandstorm
Smoke Sandstorm (varasema koodnimega BOHRIUM/DEV-0056) murdis septembris 2021 sisse ühe Bahreinis asuva IT integreerimise ettevõtte meilikontodele. See ettevõte teeb IT integreerimise valdkonnas koostööd Bahreini riigiasutustest klientidega, kes olid tõenäoliselt Smoke Sandstormi tegelikuks sihtmärgiks.
Forest Blizzard
Forest Blizzard (varasema koodnimega STRONTIUM) kasutab mitmesuguseid esialgse juurdepääsu tehnikaid, sealhulgas veebiliidesega rakenduste nõrkuste eksploite ning identimisteabe hankimiseks ka harpuunimist ja TOR-i kaudu töötavat automaatset paroolisimultaani/jõuründe tööriista.
Midnight Blizzard
Ründaja, keda Microsoft jälgib Midnight Blizzardi (NOBELIUM) nime all, on Venemaal asuv küberohustaja, keda Ameerika Ühendriigid ja Ühendkuningriik seostavad Venemaa välisluureteenistusega (SVR).
Volt Typhoon
Ründaja, kelle tegevust Microsoft jälgib koodnime Volt Typhoon all, on Hiinas asuv riiklikult mahitatud rühmitus. Peamiselt tegeleb Volt Typhoon spionaaži, andmevarguse ja identimisteabele juurdepääsu saamisega.
Plaid Rain
Alates veeburarist 2022 on Plaid Rain (varasema koodnimega POLONIUM) peamiselt võtnud sihikule Iisraelis asuvad asutused ja ettevõtted, pöörates põhitähelepanu kriitilise tähtsusega tootmisettevõtetele, IT-valdkonnale ja Iisraeli kaitsetööstusele.
Hazel Sandstorm
Hazel Sandstormi (varasema koodnimega EUROPIUM) on avalikult seostatud Iraani luure ja julgeoleku ministeeriumiga (MOIS). Microsoft võib analüüsiandmetele tuginedes suure kindlusega väita, et 15. juulil 2022 korraldasid Iraani valitsuse toetatud ründajad hävitava küberründe Albaania valitsuse vastu, halvates riiklike veebisaitide ja avalike teenuste töö.
Cadet Blizzard
Microsoft jälgib Cadet Blizzardit (varasema koodnimega DEV-0586) Venemaa riiklikult mahitatud küberohustajana, mille tegevusel Microsoft hakkas silma peal hoidma pärast 2022. aasta jaanuari keskel mitmes Ukraina riigiasutuses aset leidnud halvavaid ja hävitavaid sündmusi.
Caramel Tsunami
Caramel Tsunami (varasema koodnimega SOURGUM) müüb riigiasutustele ja teistele ründajatele häkkimisteenuse paketi raames küberrelvi, enamasti ründevara ja nullpäevaeksploite.
Aqua Blizzard
Aqua Blizzard (varasema koodnimega ACTINIUM) kasutab harpuunimissõnumeid, millele manustatud ründemakrod võtavad kasutusele kaugmallid. Aqua Blizzardi tegevuse peamine eesmärk on saada sihitud võrkudele luureteabe kogumiseks püsijuurdepääs, kasutades selleks nii kohandatud ründevara kui ka kommertstööriistu.
Nylon Typhoon
Nylon Typhoon (varasema koodnimega NICKEL) kasutab paikamata süsteemide vastu eksploite, et murda sisse kaugpöördusteenustesse ja -seadmetesse. Eduka sissetungikatse korral on nad kasutanud identimisteabe tõmmistamist või vargustööriistu ehtsa identimisteabe hankimiseks, et selle abil pääseda juurde ohvri kontodele ja sealtkaudu väärtuslikumatele süsteemidele.
Crimson Sandstorm
Crimson Sandstormi (varasema koodnimega CURIUM) kuuluvaid ründajaid on märgatud kasutamas sotsiaalmeedia libakontode võrgustikku, mille kaudu luuakse sihtmärkidega usalduslik suhe, toimetamaks andmete varastamiseks nende seadmesse ründevara.
Silk Typhoon
2021. aastal kasutas Silk Typhoon (varasema koodnimega HAFNIUM) nullpäevaeksploite Microsoft Exchange Serveri kohapealsete versioonide ründamiseks. Ründed olid oma ulatuselt piiratud ja täpselt sihitud.
Midnight Blizzard
Ründaja, keda Microsoft jälgib Midnight Blizzardi (NOBELIUM) nime all, on Venemaal asuv küberohustaja, keda Ameerika Ühendriigid ja Ühendkuningriik seostavad Venemaa välisluureteenistusega (SVR).
Pistachio Tempest
Pistachio Tempest (varasema koodnimega DEV-0237) on rühmitus, keda seostatakse suure mõjuga lunavara levitamisega. Microsoft on jälginud Pistachio Tempesti tegevust aja jooksul: rühmitus on kasutanud mitmesuguseid lunavaralaste, katsetades uusi teenusena pakutava lunavara (RaaS) pakkumisi (sh näiteks Ryuk ja Conti, Hive, Nokoyawa ning viimasel ajal ka Agenda ja Mindware).
Periwinkle Tempest
Periwinkle Tempest (varasema koodnimega DEV-0193) on vastutav paljude lastide (sh Trickbot, Bazaloader ja AnchorDNS) väljatöötamise, levitamise ja haldamise eest.
Aqua Blizzard
Aqua Blizzard (varasema koodnimega ACTINIUM) kasutab harpuunimissõnumeid, millele manustatud ründemakrod võtavad kasutusele kaugmallid. Aqua Blizzardi tegevuse peamine eesmärk on saada sihitud võrkudele luureteabe kogumiseks püsijuurdepääs, kasutades selleks nii kohandatud ründevara kui ka kommertstööriistu.
Silk Typhoon
2021. aastal kasutas Silk Typhoon (varasema koodnimega HAFNIUM) nullpäevaeksploite Microsoft Exchange Serveri kohapealsete versioonide ründamiseks. Ründed olid oma ulatuselt piiratud ja täpselt sihitud.
Volt Typhoon
Ründaja, kelle tegevust Microsoft jälgib koodnime Volt Typhoon all, on Hiinas asuv riiklikult mahitatud rühmitus. Peamiselt tegeleb Volt Typhoon spionaaži, andmevarguse ja identimisteabele juurdepääsu saamisega.
Plaid Rain
Alates veeburarist 2022 on Plaid Rain (varasema koodnimega POLONIUM) peamiselt võtnud sihikule Iisraelis asuvad asutused ja ettevõtted, pöörates põhitähelepanu kriitilise tähtsusega tootmisettevõtetele, IT-valdkonnale ja Iisraeli kaitsetööstusele.
Volt Typhoon
Ründaja, kelle tegevust Microsoft jälgib koodnime Volt Typhoon all, on Hiinas asuv riiklikult mahitatud rühmitus. Peamiselt tegeleb Volt Typhoon spionaaži, andmevarguse ja identimisteabele juurdepääsu saamisega.
Caramel Tsunami
Caramel Tsunami (varasema koodnimega SOURGUM) müüb riigiasutustele ja teistele ründajatele häkkimisteenuse paketi raames küberrelvi, enamasti ründevara ja nullpäevaeksploite.
Manatee Tempest
Manatee Tempest (varasema koodnimega DEV-0243) on küberohustaja, kes osaleb teenusena pakutava lunavara (RaaS) majanduses, pakkudes koostöös teiste küberohustajatega kohandatud Cobalt Strike’i laadureid.
Smoke Sandstorm
Smoke Sandstorm (varasema koodnimega BOHRIUM/DEV-0056) murdis septembris 2021 sisse ühe Bahreinis asuva IT integreerimise ettevõtte meilikontodele. See ettevõte teeb IT integreerimise valdkonnas koostööd Bahreini riigiasutustest klientidega, kes olid tõenäoliselt Smoke Sandstormi tegelikuks sihtmärgiks.
Storm-0530
Põhja-Koreas asuvate küberohustajate rühmitus, keda Microsoft jälgib koodnimega Storm-0530 (varem DEV-0530), on lunavara välja töötanud ja rünnetes kasutanud alates juunist 2021.
Mint Sandstorm
Mint Sandstorm (varasema koodnimega PHOSPHORUS) proovib enamasti rünnata inimeste isiklikke kontosid, kasutades harpuunimist ja manipuleerimist, et ohvritega enne nende sihikule võtmist tutvust teha.
Silk Typhoon
2021. aastal kasutas Silk Typhoon (varasema koodnimega HAFNIUM) nullpäevaeksploite Microsoft Exchange Serveri kohapealsete versioonide ründamiseks. Ründed olid oma ulatuselt piiratud ja täpselt sihitud.
Midnight Blizzard
Ründaja, keda Microsoft jälgib Midnight Blizzardi (NOBELIUM) nime all, on Venemaal asuv küberohustaja, keda Ameerika Ühendriigid ja Ühendkuningriik seostavad Venemaa välisluureteenistusega (SVR).
Aqua Blizzard
Aqua Blizzard (varasema koodnimega ACTINIUM) kasutab harpuunimissõnumeid, millele manustatud ründemakrod võtavad kasutusele kaugmallid. Aqua Blizzardi tegevuse peamine eesmärk on saada sihitud võrkudele luureteabe kogumiseks püsijuurdepääs, kasutades selleks nii kohandatud ründevara kui ka kommertstööriistu.
Nylon Typhoon
Nylon Typhoon (varasema koodnimega NICKEL) kasutab paikamata süsteemide vastu eksploite, et murda sisse kaugpöördusteenustesse ja -seadmetesse. Eduka sissetungikatse korral on nad kasutanud identimisteabe tõmmistamist või vargustööriistu ehtsa identimisteabe hankimiseks, et selle abil pääseda juurde ohvri kontodele ja sealtkaudu väärtuslikumatele süsteemidele.
Aqua Blizzard
Aqua Blizzard (varasema koodnimega ACTINIUM) kasutab harpuunimissõnumeid, millele manustatud ründemakrod võtavad kasutusele kaugmallid. Aqua Blizzardi tegevuse peamine eesmärk on saada sihitud võrkudele luureteabe kogumiseks püsijuurdepääs, kasutades selleks nii kohandatud ründevara kui ka kommertstööriistu.
Silk Typhoon
2021. aastal kasutas Silk Typhoon (varasema koodnimega HAFNIUM) nullpäevaeksploite Microsoft Exchange Serveri kohapealsete versioonide ründamiseks. Ründed olid oma ulatuselt piiratud ja täpselt sihitud.
Caramel Tsunami
Caramel Tsunami (varasema koodnimega SOURGUM) müüb riigiasutustele ja teistele ründajatele häkkimisteenuse paketi raames küberrelvi, enamasti ründevara ja nullpäevaeksploite.
Caramel Tsunami
Caramel Tsunami (varasema koodnimega SOURGUM) müüb riigiasutustele ja teistele ründajatele häkkimisteenuse paketi raames küberrelvi, enamasti ründevara ja nullpäevaeksploite.
Aqua Blizzard
Aqua Blizzard (varasema koodnimega ACTINIUM) kasutab harpuunimissõnumeid, millele manustatud ründemakrod võtavad kasutusele kaugmallid. Aqua Blizzardi tegevuse peamine eesmärk on saada sihitud võrkudele luureteabe kogumiseks püsijuurdepääs, kasutades selleks nii kohandatud ründevara kui ka kommertstööriistu.
Diamond Sleet
Diamond Sleet (varasema koodnimega ZINC) on Põhja-Korea valitsuse huvides tegutsev globaalse haardega küberohustaja. Juba vähemalt 2009. aastast alates aktiivselt tegutsenud Diamond Sleeti sihtmärkide hulgas on olnud ajakirjandus, kaitsetööstus, IT-sektor, teadusuuringutega tegelevad asutused ning turbevaldkonna teadlased; rühmitus keskendub spionaažile, andmevargusele, rahalisele kasule ja võrkude hävitamisele.
Forest Blizzard
Forest Blizzard (varasema koodnimega STRONTIUM) kasutab mitmesuguseid esialgse juurdepääsu tehnikaid, sealhulgas veebiliidesega rakenduste nõrkuste eksploite ning identimisteabe hankimiseks ka harpuunimist ja TOR-i kaudu töötavat automaatset paroolisimultaani/jõuründe tööriista.
Midnight Blizzard
Ründaja, keda Microsoft jälgib Midnight Blizzardi (NOBELIUM) nime all, on Venemaal asuv küberohustaja, keda Ameerika Ühendriigid ja Ühendkuningriik seostavad Venemaa välisluureteenistusega (SVR).
Volt Typhoon
Ründaja, kelle tegevust Microsoft jälgib koodnime Volt Typhoon all, on Hiinas asuv riiklikult mahitatud rühmitus. Peamiselt tegeleb Volt Typhoon spionaaži, andmevarguse ja identimisteabele juurdepääsu saamisega.
Plaid Rain
Alates veeburarist 2022 on Plaid Rain (varasema koodnimega POLONIUM) peamiselt võtnud sihikule Iisraelis asuvad asutused ja ettevõtted, pöörates põhitähelepanu kriitilise tähtsusega tootmisettevõtetele, IT-valdkonnale ja Iisraeli kaitsetööstusele.
Cadet Blizzard
Microsoft jälgib Cadet Blizzardit (varasema koodnimega DEV-0586) Venemaa riiklikult mahitatud küberohustajana, mille tegevusel Microsoft hakkas silma peal hoidma pärast 2022. aasta jaanuari keskel mitmes Ukraina riigiasutuses aset leidnud halvavaid ja hävitavaid sündmusi.
Crimson Sandstorm
Crimson Sandstormi (varasema koodnimega CURIUM) kuuluvaid ründajaid on märgatud kasutamas sotsiaalmeedia libakontode võrgustikku, mille kaudu luuakse sihtmärkidega usalduslik suhe, toimetamaks andmete varastamiseks nende seadmesse ründevara.
Diamond Sleet
Diamond Sleet (varasema koodnimega ZINC) on Põhja-Korea valitsuse huvides tegutsev globaalse haardega küberohustaja. Juba vähemalt 2009. aastast alates aktiivselt tegutsenud Diamond Sleeti sihtmärkide hulgas on olnud ajakirjandus, kaitsetööstus, IT-sektor, teadusuuringutega tegelevad asutused ning turbevaldkonna teadlased; rühmitus keskendub spionaažile, andmevargusele, rahalisele kasule ja võrkude hävitamisele.
Gray Sandstorm
Gray Sandstorm (varasema koodnimega DEV-0343) korraldab ulatuslikke paroolisimultaane, jäljendades Firefoxi brauserit ja kasutades Tori puhverserverite võrgus majutatud IP-sid. Enamasti sihivad nad ühes organisatsioonis kümneid kuni sadu kontosid (olenevalt asutuse või ettevõtte suurusest) ja teevad igale kontole kümneid kuni tuhandeid päringuid.
Silk Typhoon
2021. aastal kasutas Silk Typhoon (varasema koodnimega HAFNIUM) nullpäevaeksploite Microsoft Exchange Serveri kohapealsete versioonide ründamiseks. Ründed olid oma ulatuselt piiratud ja täpselt sihitud.
Forest Blizzard
Forest Blizzard (varasema koodnimega STRONTIUM) kasutab mitmesuguseid esialgse juurdepääsu tehnikaid, sealhulgas veebiliidesega rakenduste nõrkuste eksploite ning identimisteabe hankimiseks ka harpuunimist ja TOR-i kaudu töötavat automaatset paroolisimultaani/jõuründe tööriista.
Midnight Blizzard
Ründaja, keda Microsoft jälgib Midnight Blizzardi (NOBELIUM) nime all, on Venemaal asuv küberohustaja, keda Ameerika Ühendriigid ja Ühendkuningriik seostavad Venemaa välisluureteenistusega (SVR).
Diamond Sleet
Diamond Sleet (varasema koodnimega ZINC) on Põhja-Korea valitsuse huvides tegutsev globaalse haardega küberohustaja. Juba vähemalt 2009. aastast alates aktiivselt tegutsenud Diamond Sleeti sihtmärkide hulgas on olnud ajakirjandus, kaitsetööstus, IT-sektor, teadusuuringutega tegelevad asutused ning turbevaldkonna teadlased; rühmitus keskendub spionaažile, andmevargusele, rahalisele kasule ja võrkude hävitamisele.
Silk Typhoon
2021. aastal kasutas Silk Typhoon (varasema koodnimega HAFNIUM) nullpäevaeksploite Microsoft Exchange Serveri kohapealsete versioonide ründamiseks. Ründed olid oma ulatuselt piiratud ja täpselt sihitud.
Volt Typhoon
Ründaja, kelle tegevust Microsoft jälgib koodnime Volt Typhoon all, on Hiinas asuv riiklikult mahitatud rühmitus. Peamiselt tegeleb Volt Typhoon spionaaži, andmevarguse ja identimisteabele juurdepääsu saamisega.
Plaid Rain
Alates veeburarist 2022 on Plaid Rain (varasema koodnimega POLONIUM) peamiselt võtnud sihikule Iisraelis asuvad asutused ja ettevõtted, pöörates põhitähelepanu kriitilise tähtsusega tootmisettevõtetele, IT-valdkonnale ja Iisraeli kaitsetööstusele.
Gray Sandstorm
Gray Sandstorm (varasema koodnimega DEV-0343) korraldab ulatuslikke paroolisimultaane, jäljendades Firefoxi brauserit ja kasutades Tori puhverserverite võrgus majutatud IP-sid. Enamasti sihivad nad ühes organisatsioonis kümneid kuni sadu kontosid (olenevalt asutuse või ettevõtte suurusest) ja teevad igale kontole kümneid kuni tuhandeid päringuid.
Midnight Blizzard
Ründaja, keda Microsoft jälgib Midnight Blizzardi (NOBELIUM) nime all, on Venemaal asuv küberohustaja, keda Ameerika Ühendriigid ja Ühendkuningriik seostavad Venemaa välisluureteenistusega (SVR).
Volt Typhoon
Ründaja, kelle tegevust Microsoft jälgib koodnime Volt Typhoon all, on Hiinas asuv riiklikult mahitatud rühmitus. Peamiselt tegeleb Volt Typhoon spionaaži, andmevarguse ja identimisteabele juurdepääsu saamisega.
Smoke Sandstorm
Smoke Sandstorm (varasema koodnimega BOHRIUM/DEV-0056) murdis septembris 2021 sisse ühe Bahreinis asuva IT integreerimise ettevõtte meilikontodele. See ettevõte teeb IT integreerimise valdkonnas koostööd Bahreini riigiasutustest klientidega, kes olid tõenäoliselt Smoke Sandstormi tegelikuks sihtmärgiks.
Silk Typhoon
2021. aastal kasutas Silk Typhoon (varasema koodnimega HAFNIUM) nullpäevaeksploite Microsoft Exchange Serveri kohapealsete versioonide ründamiseks. Ründed olid oma ulatuselt piiratud ja täpselt sihitud.
Forest Blizzard
Forest Blizzard (varasema koodnimega STRONTIUM) kasutab mitmesuguseid esialgse juurdepääsu tehnikaid, sealhulgas veebiliidesega rakenduste nõrkuste eksploite ning identimisteabe hankimiseks ka harpuunimist ja TOR-i kaudu töötavat automaatset paroolisimultaani/jõuründe tööriista.
Midnight Blizzard
Ründaja, keda Microsoft jälgib Midnight Blizzardi (NOBELIUM) nime all, on Venemaal asuv küberohustaja, keda Ameerika Ühendriigid ja Ühendkuningriik seostavad Venemaa välisluureteenistusega (SVR).
Volt Typhoon
Ründaja, kelle tegevust Microsoft jälgib koodnime Volt Typhoon all, on Hiinas asuv riiklikult mahitatud rühmitus. Peamiselt tegeleb Volt Typhoon spionaaži, andmevarguse ja identimisteabele juurdepääsu saamisega.
Plaid Rain
Alates veeburarist 2022 on Plaid Rain (varasema koodnimega POLONIUM) peamiselt võtnud sihikule Iisraelis asuvad asutused ja ettevõtted, pöörates põhitähelepanu kriitilise tähtsusega tootmisettevõtetele, IT-valdkonnale ja Iisraeli kaitsetööstusele.
Hazel Sandstorm
Hazel Sandstormi (varasema koodnimega EUROPIUM) on avalikult seostatud Iraani luure ja julgeoleku ministeeriumiga (MOIS). Microsoft võib analüüsiandmetele tuginedes suure kindlusega väita, et 15. juulil 2022 korraldasid Iraani valitsuse toetatud ründajad hävitava küberründe Albaania valitsuse vastu, halvates riiklike veebisaitide ja avalike teenuste töö.
Cadet Blizzard
Microsoft jälgib Cadet Blizzardit (varasema koodnimega DEV-0586) Venemaa riiklikult mahitatud küberohustajana, mille tegevusel Microsoft hakkas silma peal hoidma pärast 2022. aasta jaanuari keskel mitmes Ukraina riigiasutuses aset leidnud halvavaid ja hävitavaid sündmusi.
Aqua Blizzard
Aqua Blizzard (varasema koodnimega ACTINIUM) kasutab harpuunimissõnumeid, millele manustatud ründemakrod võtavad kasutusele kaugmallid. Aqua Blizzardi tegevuse peamine eesmärk on saada sihitud võrkudele luureteabe kogumiseks püsijuurdepääs, kasutades selleks nii kohandatud ründevara kui ka kommertstööriistu.
Nylon Typhoon
Nylon Typhoon (varasema koodnimega NICKEL) kasutab paikamata süsteemide vastu eksploite, et murda sisse kaugpöördusteenustesse ja -seadmetesse. Eduka sissetungikatse korral on nad kasutanud identimisteabe tõmmistamist või vargustööriistu ehtsa identimisteabe hankimiseks, et selle abil pääseda juurde ohvri kontodele ja sealtkaudu väärtuslikumatele süsteemidele.
Crimson Sandstorm
Crimson Sandstormi (varasema koodnimega CURIUM) kuuluvaid ründajaid on märgatud kasutamas sotsiaalmeedia libakontode võrgustikku, mille kaudu luuakse sihtmärkidega usalduslik suhe, toimetamaks andmete varastamiseks nende seadmesse ründevara.
Diamond Sleet
Diamond Sleet (varasema koodnimega ZINC) on Põhja-Korea valitsuse huvides tegutsev globaalse haardega küberohustaja. Juba vähemalt 2009. aastast alates aktiivselt tegutsenud Diamond Sleeti sihtmärkide hulgas on olnud ajakirjandus, kaitsetööstus, IT-sektor, teadusuuringutega tegelevad asutused ning turbevaldkonna teadlased; rühmitus keskendub spionaažile, andmevargusele, rahalisele kasule ja võrkude hävitamisele.
Gray Sandstorm
Gray Sandstorm (varasema koodnimega DEV-0343) korraldab ulatuslikke paroolisimultaane, jäljendades Firefoxi brauserit ja kasutades Tori puhverserverite võrgus majutatud IP-sid. Enamasti sihivad nad ühes organisatsioonis kümneid kuni sadu kontosid (olenevalt asutuse või ettevõtte suurusest) ja teevad igale kontole kümneid kuni tuhandeid päringuid.
Manatee Tempest
Manatee Tempest (varasema koodnimega DEV-0243) on küberohustaja, kes osaleb teenusena pakutava lunavara (RaaS) majanduses, pakkudes koostöös teiste küberohustajatega kohandatud Cobalt Strike’i laadureid.
Wine Tempest
Wine Tempest (varasema koodnimega PARINACOTA) kasutab rünnete jaoks enamasti inimjuhitavat lunavara; kõige sagedamini juurutab see rühmitus Wadhrama lunavara. Rühmitus on leidlik, muutes vastavalt vajadusele oma taktikat, ning ründe ohvriks langenud arvuteid on nad kasutanud mitmel otstarbel, näiteks krüptoraha kaevandamiseks, rämpsposti saatmiseks või teiste rünnete puhvrina.
Smoke Sandstorm
Smoke Sandstorm (varasema koodnimega BOHRIUM/DEV-0056) murdis septembris 2021 sisse ühe Bahreinis asuva IT integreerimise ettevõtte meilikontodele. See ettevõte teeb IT integreerimise valdkonnas koostööd Bahreini riigiasutustest klientidega, kes olid tõenäoliselt Smoke Sandstormi tegelikuks sihtmärgiks.
Pistachio Tempest
Pistachio Tempest (varasema koodnimega DEV-0237) on rühmitus, keda seostatakse suure mõjuga lunavara levitamisega. Microsoft on jälginud Pistachio Tempesti tegevust aja jooksul: rühmitus on kasutanud mitmesuguseid lunavaralaste, katsetades uusi teenusena pakutava lunavara (RaaS) pakkumisi (sh näiteks Ryuk ja Conti, Hive, Nokoyawa ning viimasel ajal ka Agenda ja Mindware).
Periwinkle Tempest
Periwinkle Tempest (varasema koodnimega DEV-0193) on vastutav paljude lastide (sh Trickbot, Bazaloader ja AnchorDNS) väljatöötamise, levitamise ja haldamise eest.
Caramel Tsunami
Caramel Tsunami (varasema koodnimega SOURGUM) müüb riigiasutustele ja teistele ründajatele häkkimisteenuse paketi raames küberrelvi, enamasti ründevara ja nullpäevaeksploite.
Caramel Tsunami
Caramel Tsunami (varasema koodnimega SOURGUM) müüb riigiasutustele ja teistele ründajatele häkkimisteenuse paketi raames küberrelvi, enamasti ründevara ja nullpäevaeksploite.
Silk Typhoon
2021. aastal kasutas Silk Typhoon (varasema koodnimega HAFNIUM) nullpäevaeksploite Microsoft Exchange Serveri kohapealsete versioonide ründamiseks. Ründed olid oma ulatuselt piiratud ja täpselt sihitud.
Tutvuge ekspertidega
Eksperdi profiil: Homa Hayatyfar
Andmete ja rakendusteaduse juht Homa Hayatyfar kirjeldab masinõppemudelite kasutamist kaitse tugevdamiseks; see on vaid üks paljudest viisidest, kuidas tehisintellekt turvalisust mõjutab.
Tutvuge ekspertidega
Tutvuge ohuanalüüsi aruannetega
Microsofti digikaitsearuanne 2023
Microsofti digikaitsearuande uusimas väljaandes uuritakse lähemalt arenevat ohumaastikku. Samuti antakse ülevaade võimalustest ja väljakutsetest, millega me kübervastupanuvõime suurendamisel silmitsi seisame.
Praktiline küberkaitse
Tehke algust
Liituge Microsofti üritustega
Laiendage oma teadmisi, omandage uusi oskusi ja arendage kogukonda Microsofti ürituste ja õppimisvõimaluste abil.
Rääkige meiega
Jälgi Microsofti