Nyhed - 31 Oktober 2023 10:00

Cozy Bear: Afdækning af berygtet cybergruppes arsenal

København, 31. oktober 2023 – Cozy Bear blev først beskrevet i 2008 og mistænkes for en række højt profilerede cyberangreb, såsom SolarWinds i 2020 og Demokraternes Nationale Komité i USA i 2016. Gruppen menes at være knyttet til den russiske efterretningstjeneste SVR og målretter sine angreb mod myndigheder, NGO’er, virksomheder, tænketanke og andre højt profilerede mål for at spionere og stjæle information. Logpoint har udfærdiget en rapport, der folder truslen ud og giver råd til beskyttelse.

”Cozy Bear udmærker sig ved gentagne gange at lykkes med at gennemføre kampagner, tilsyneladende uden at ændre deres teknikker eller støde på nogen problemer eller tilbageslag af betydning,” siger Swachchhanda Shrawan Poudel, Logpoint Security researcher. ”Deres modstandsdygtighed og effektivitet understreger, hvor sofistikerede Cozy Bears er, og deres evne til at tilpasse sig som trusselsaktør.”

Så sent som september 2023 rapporterede Mandiant, at Cozy Bear var aktiv med en phishing-kampagne, målrettet ambassader i Ukraine. Phishing-e-mails går igen i Cozy Bears kampagner, men der er variationer i måden malware udrulles på. Gruppen distribuerer malware ved hjælp af såkaldt HTML smuglling og ondsindede (weponiserede) ISO-filer. MITRE ATT&CK foreslår at deaktivere automatisk montering af diskbilledfiler og blokere visse typer containerfiler.

Cozy Bears er ikke økonomisk motiverede. Logpoints rapport understreger, at gruppen prioriterer at skjule sig og bevare adgang i længere perioder, mens de eksfiltrerer fortrolige og følsomme data. Det gør det svært for sikkerhedsfolk at opdage gruppen i systemet, da deres tilgang begrænser mængden af telemetri, der kan sætte gang i alarmer.

"Cozy Bears lyssky karakter betyder, at den eneste holdbare måde at opdage dem på er at søge proaktivt efter indikatorer på, at deres kendte teknikker er i brug i systemet," siger Swachchhanda Shrawan Poudel. "Det er en udfordring for organisationer at jagte trusler effektitv, især for små og mellemstore virksomheder, fordi man er nødt til at gennemgå enorme mængder data. Men det er simpelthen afgørende at at holde sig ajour med de mest aktive APT-grupper og deres TTP’er i en eller anden udstrækning."

Læs Logpoints fulde rapport om Cozy Bear her og få et indblik i Cozy Bears aktiviteter og hvilke sikkerhedsforanstaltninger, der kan afhjælpe truslen.

Emner

Datasikkerhed

Kategorier

Developing threats

Kontakt

Maimouna Corr Fonsbøl

Pressekontakt PR Manager PR & Communications

Relateret media Download images for media use

Swachchhanda Shrawan Poudel
Licens: Brug i medier
Materialet kan downloades af journalister, bloggere, meningsdannere etc. Det kan bruges og deles i forskellige sociale medier-kanaler med det formål fremføre, fortælle, kommentere eller redegøre for jeres pressemeddelelser og andre publiceringer - forudsat at materialet er uredigeret og publiceret i sin helhed. Forfatteren eller skaberen af materialet skal krediteres i det omfang, som god skik kræver (det betyder f.eks. at fotografer skal krediteres).
Filformat: .jpg
Størrelse: 1569 x 1188, 4,33 MB

Cozy Bear DK
Licens: Brug i medier
Materialet kan downloades af journalister, bloggere, meningsdannere etc. Det kan bruges og deles i forskellige sociale medier-kanaler med det formål fremføre, fortælle, kommentere eller redegøre for jeres pressemeddelelser og andre publiceringer - forudsat at materialet er uredigeret og publiceret i sin helhed. Forfatteren eller skaberen af materialet skal krediteres i det omfang, som god skik kræver (det betyder f.eks. at fotografer skal krediteres).
Filformat: .png
Størrelse: 1920 x 1080, 1,11 MB

Relateret materiale

Michael Haldbo, Logpoint Chief Financial Officer

7 September 2023 10:00

Logpoint udnævner Michael Haldbo som Chief Financial Officer

Erfaren finanschef Michael Haldbo tiltræder Logpoint for at støtte og beskytte virksomheden og sikre den succesfulde transformation til et europæisk kraftcenter inden for cybersikkerhed.

2 Marts 2023 10:00

Summa Equity investerer i Logpoint for at skabe et europæisk kraftcenter for cybersikkerhed

Summa Equity køber en majoritetsandel af cybersikkerheds-virksomheden Logpoint. Investeringen kommer fra Summas Fund III, som indeholder 2,3 mia. euro, og skal være med til at sikre Europa strategisk uafhængighed på cybersikkerheds-området og beskytte den globale digitale transformation.

24 August 2023 10:00

Angreb mod SMV'er: 8base øger aktivitetsniveauet markant

8base er blandt de 5 mest aktive ransomware-grupper denne sommer og Logpoint har offentliggjort TTP'er (Tactics, Techniques, & Procedures) og IoC'er (Indicators of Compromise) knyttet til gruppen.

Logpoint har udarbejdet en rapport, der fremhæver Cactus’ TTP'er og IoC'er for at lave alert-regler, som kan hjælpe med at identificere, hvis gruppens metoder er i brug.

27 November 2023 09:00

Cactus: Forsvar mod ny ransomware-trussel

Cactus dukkede op i marts i år og har siden opbygget en omfattende portefølje af højt profilerede ofre. Logpoint har analyseret gruppens taktikker, teknikker og procedurer (TTP'er) samt indikatorer for kompromittering (IoC'er) for at etablere effektive forsvar.

Undervurderer virksomheder nødvendigheden af it-sikkerhed, kan de ende som ufrivillig aktør i den voksende cyberkrig

16 Maj 2022 10:30

Du kan ende som ufrivillig aktør i cyberkrigen

Undervurderer virksomheder nødvendigheden af it-sikkerhed, kan de ende som ufrivillig aktør i den voksende cyberkrig