Loihteen kyberkatsaus 5/2025
Lue toukokuun merkittävimmät kybertapahtumat katsauksestamme. Alta löydät tiivistelmän viime kuukauden tapahtumista tai voit siirtyä suoraan tekstin loppuun ja klikkaa auki koko kyberkatsauksen.
Toukokuun raportissa on jälleen tuotu esille tietoturvahaavoittuvuuksia, joiden aktiivista hyväksikäyttöä on myös raportoitu maailmalla. Toukokuussa haavoittuvuuksia edustavat Microsoft Windows, Ivanti EPMM ja SAP Netweaver.
Tunnusten kalastelua on tapahtunut aktiivisesti kevään aikana etenkin M365-tunnusten osalta. Uhkatoimijat käyttävät yhä enemmän jo vaarantamiaan tunnuksia lähettämään uusia kalastelusähköposteja. Lisäksi viesteihin sisällytetään mm. OneDrive-jakoja hämäämään vastaanottajaa ja vastaanottavan organisaation sähköpostisuojauksia. Kompensoivia kontrolleja, kuten Conditional Access Policyt, on syytä harkita otettavaksi käyttöön, jotta onnistuneista tunnusten kalasteluista syntyneet vahingot saadaan minimoitua tai estettyä kokonaan.
Microsoft esti pääsyn Kansainvälisen rikostuomioistuimen (ICC) pääsyyttäjältä tämän sähköpostiin sen jälkeen, kun Yhdysvaltain hallinto asetti ICC:tä kohtaan pakotteita. Tapaus on herättänyt keskustelua ja huolta, sillä hyvin monet eurooppalaiset organisaatiot nojaavat laajasti Microsoftin palveluihin.
Microsoft ja Europol suorittivat mittavan operaation Lumma Stealer-haittaohjelman toimintojen heikentämiseksi ja katkaisemiseksi. Tämä on johtanut siihen, että yli 2300 Lummaan liittyvää domainia on estetty, ajettu alas tai otettu haltuun Microsoftin toimesta.
Kyberkatsauksessa on lisäksi nostettu esille Loihteen CSOCin toukokuun kolme suositusta, joita hyödyntämällä organisaatiot kykenevät havaitsemaan epäilyttävää toimintaa ja suojautumaan ympäristöissään tapahtuvilta tietoturvapoikkeamilta. Riittävä näkyvyys ympäristöihin on perusedellytys tietoturvapoikkeamien ennaltaehkäisemiseen, havaitsemiseen ja niistä palautumiseen.
Alkuvuoden perusteella voidaan kyberturvallisuuteen liittyvien uhkien osalta odottaa aktiivista kesää. Rikollisten toiminta on aktiivista ja tähän trendiin ei näytä tulevan muutosta. Geopoliittinen tilanne aktivoi valtiollisia toimijoita, mutta mahdollistaa myös rikollisille erilaisia keinoja käyttää kyvykkyyksiään omien päämääriensä ajamiseksi. Suomalaisten yritysten on myös syytä tunnistaa oma potentiaalinsa hyökkäyksen mahdollistavana kohteena; yrityksen kautta vaikuttamalla hyökkääjä voi päästä käsiksi esimerkiksi kriittisen infrastruktuurin tai huoltovarmuuden kannalta tärkeisiin toimijoihin.
Jos haluat jatkossa kyberkatsauksen suoraan sähköpostiisi,
tilaa se itsellesi tästä