2024年,针对SaaS的网络威胁激增,仅在Entra ID中,每秒阻止的密码攻击频次就高达7000次,比前一年增加了75%,钓鱼攻击尝试增加了58%,造成了35亿美元的损失(来源:Microsoft Digital Defense Report 2024)。黑客通常通过合法使用模式来规避检测。
进入2025年,安全团队必须优先考虑SaaS安全风险评估以发现漏洞,并采用SSPM工具持续监控,主动进行系统防御。
以下是2025年需要重点关注的SaaS威胁行为者:
1. ShinyHunters
攻击风格:精准射击(网络犯罪组织)
最大受害者:Snowflake 、Ticketmaster 和 Authy
“爆炸性”事件:利用一处配置错误,攻破了165多家组织。
2024年ShinyHunters以无情的SaaS漏洞攻击席卷了整个网络世界,泄露了包括Authy和Ticketmaster在内的多个平台的敏感数据。他们的攻击并非利用供应商的漏洞,而是抓住了 Snowflake客户忽视的一处配置错误。这些用户并未启用多因素认证(MFA)或妥善保护其SaaS环境,因此,ShinyHunters能够轻松渗透、窃取数据并勒索这些Snowflake用户。
SaaS安全启示:Snowflake事件暴露了客户端的重大安全疏忽,而非供应商的失误。
企业未能强制执行MFA 、定期轮换凭证或实施允许列表,导致系统容易遭受未经授权的访问。
2. ALPHV(BlackCat)
攻击风格:战略操控(勒索软件即服务,RaaS)
最大受害者:Change Healthcare 、Prudential(医疗保健与金融领域)
“爆炸性”事件: 与RansomHub的2200万美元退出骗局。
ALPHV,又名BlackCat,在2024年上演了年度最大胆的操作之一。在通过窃取的凭证从 Change Healthcare勒索了2200万美元后,他们竟然伪造了FBI查封的页面,以误导执法机构和合作伙伴。更戏剧的是,作为合作伙伴的RansomHub公开指控ALPHV独吞赎金并让他们空手而归,甚至分享了一笔比特币交易作为证据。尽管遭到背叛,RansomHub仍公布了被盗数据,导致Change Healthcare既支付了赎金又失去了数据。
SaaS安全启示:通过暗网监控追踪凭证泄露,并强制执行单点登录(SSO)以简化身份验证流程,降低凭证风险。
跟踪身份验证活动,尽早检测到被泄露的凭证,并应用账户暂停策略以防止暴力破解攻击。
3. RansomHub
攻击风格:机会主义攻击(勒索软件即服务,RaaS)
最大受害者: Frontier Communications (电信与基础设施领域)
“爆炸性”事件:卷入ALPHV 的2200万美元骗局风波。
2024 年初,RansomHub从Knight Ransomware的废墟中崛起,成为最活跃的勒索软件团伙之一。他们以机会主义策略而闻名,因与 ALPHV(BlackCat)的合作登上头条。他们在Change Healthcare事件中的角色影响了超过1亿美国公民,突显了他们利用SaaS漏洞(包括配置错误、弱身份验证和第三方集成)的能力,并最大限度地扩大了自己的影响范围和影响力。
SaaS安全启示:警惕利用窃取的个人信息进行的钓鱼攻击,这些攻击更具欺骗性。
实施身份威胁检测工具,监控账户劫持迹象和用户活动异常,以便及时识别并响应潜在的数据泄露。
4. LockBit
攻击风格:持续进攻(勒索软件即服务,RaaS)
最大受害者: Evolve Bank&Trust的供应链效应(金融科技领域)
“爆炸性”事件:FBI的“Cronos 行动”未能彻底将其消灭。
尽管 FBI 和NCA(英国国家犯罪局)不断努力摧毁其基础设施,LockBit 在勒索软件的“赛场”上仍然占据主导地位。针对Evolve Bank&Trust等金融科技公司的高调行动,以及对Affirm和Wise等更多公司的供应链影响,巩固了LockBit作为SaaS攻击联盟中最稳定进攻者的地位。
SaaS安全启示:优先进行第三方供应商风险评估,并保持对 SaaS 应用连接的可视性,以便尽早发现潜在的利用路径。
使用具备威胁检测、 UEBA(用户和实体行为分析)以及异常检测功能的活动监控工具,实时发现可疑行为。
5.Midnight Blizzard(APT29)
攻击风格:防御性渗透(高级持续性威胁,APT)
最大受害者: TeamViewer (远程访问工具)
“爆炸性”事件:突破防线,开展无声间谍活动。
这个组织得到了俄罗斯国家资源的支持,专门攻击关键系统,2024年TeamViewer 成为其突出目标。这个组织并不张扬——不会留下勒索信或在暗网论坛上吹嘘。相反,他们悄无声息地窃取敏感数据,留下的数字足迹微乎其微,几乎无法追踪。与勒索软件团伙不同,像Midnight Blizzard这样的国家支持组织专注于网络间谍活动,低调地收集情报而不触发任何警报。
SaaS 安全启示:对关键 SaaS 应用的入侵保持警惕,这些应用往往是国家级行为者的目标。定期进行配置审计以降低风险,并确保实施多因素认证(MFA)等安全访问控制措施。
主动审计有助于最小化入侵影响并限制利用路径。
第六人:值得关注的其他团体
Hellcat:一个在2024年底崭露头角的勒索软件团伙,已确认对施耐德电气(Schneider Electric)发起攻击。他们的迅速崛起和初期成功预示着2025年可能会采取更激进的策略。
Scattered Spider:这个混合型社交工程团伙曾是网络犯罪领域的主要参与者,在遭到逮捕和法律打击后暂时沉寂。尽管他们的活动有所减少,但专家警告称,现在断言他们出局还为时过早。
这两个团体都值得关注——一个是因为其发展势头,另一个是因为其声誉和潜在东山再起的可能性。
2025年的关键要点
错误配置仍是主要目标:威胁行为者继续利用被忽视的SaaS错误配置,获取关键系统和敏感数据的访问权限。定期审计、强制MFA和凭证轮换是必不可少的防御措施。
身份基础设施遭受攻击:攻击者利用窃取的凭证、 API操作和隐蔽的数据外泄绕过防御。监控凭证泄露、实施强MFA 、异常检测和身份监控是防止入侵的关键。
影子IT和供应链成为切入点:未经授权的SaaS应用和应用间集成会产生隐藏的漏洞。持续监控、主动监督和自动化修复对于降低风险至关重要。
多层SaaS安全解决方案的基础始于自动化的持续风险评估,并将持续监控工具集成到安全管理中。
这并非他们的最后一舞,安全团队必须时刻保持高度警惕,为迎接新的一年做好准备,继续抵御全球最活跃的威胁行为者。
而不是等待下一次的入侵。
参考链接:
https://thehackernews.com/2025/01/from-22m-in-ransom-to-100m-stolen.html