2025年安全團隊必須優(yōu)先考慮SaaS安全風險評估以發(fā)現(xiàn)漏洞，并采用SSPM工具持續(xù)監(jiān)控，主動進行系統(tǒng)防御。

2024年，針對SaaS的網(wǎng)絡威脅激增，僅在Entra ID中，每秒阻止的密碼攻擊頻次就高達7000次，比前一年增加了75%，釣魚攻擊嘗試增加了58%，造成了35億美元的損失（來源：Microsoft Digital Defense Report 2024）。黑客通常通過合法使用模式來規(guī)避檢測。

進入2025年，安全團隊必須優(yōu)先考慮SaaS安全風險評估以發(fā)現(xiàn)漏洞，并采用SSPM工具持續(xù)監(jiān)控，主動進行系統(tǒng)防御。

以下是2025年需要重點關(guān)注的SaaS威脅行為者：

1. ShinyHunters

攻擊風格：精準射擊（網(wǎng)絡犯罪組織）

最大受害者：Snowflake 、Ticketmaster 和 Authy

“爆炸性”事件：利用一處配置錯誤，攻破了165多家組織。

2024年ShinyHunters以無情的SaaS漏洞攻擊席卷了整個網(wǎng)絡世界，泄露了包括Authy和Ticketmaster在內(nèi)的多個平臺的敏感數(shù)據(jù)。他們的攻擊并非利用供應商的漏洞，而是抓住了 Snowflake客戶忽視的一處配置錯誤。這些用戶并未啟用多因素認證（MFA）或妥善保護其SaaS環(huán)境，因此，ShinyHunters能夠輕松滲透、竊取數(shù)據(jù)并勒索這些Snowflake用戶。

SaaS安全啟示：Snowflake事件暴露了客戶端的重大安全疏忽，而非供應商的失誤。

企業(yè)未能強制執(zhí)行MFA 、定期輪換憑證或?qū)嵤┰试S列表，導致系統(tǒng)容易遭受未經(jīng)授權(quán)的訪問。

2. ALPHV（BlackCat）

攻擊風格：戰(zhàn)略操控（勒索軟件即服務，RaaS）

最大受害者：Change Healthcare 、Prudential（醫(yī)療保健與金融領域）

“爆炸性”事件： 與RansomHub的2200萬美元退出騙局。

ALPHV，又名BlackCat，在2024年上演了年度最大膽的操作之一。在通過竊取的憑證從 Change Healthcare勒索了2200萬美元后，他們竟然偽造了FBI查封的頁面，以誤導執(zhí)法機構(gòu)和合作伙伴。更戲劇的是，作為合作伙伴的RansomHub公開指控ALPHV獨吞贖金并讓他們空手而歸，甚至分享了一筆比特幣交易作為證據(jù)。盡管遭到背叛，RansomHub仍公布了被盜數(shù)據(jù)，導致Change Healthcare既支付了贖金又失去了數(shù)據(jù)。

SaaS安全啟示：通過暗網(wǎng)監(jiān)控追蹤憑證泄露，并強制執(zhí)行單點登錄（SSO）以簡化身份驗證流程，降低憑證風險。

跟蹤身份驗證活動，盡早檢測到被泄露的憑證，并應用賬戶暫停策略以防止暴力破解攻擊。

3. RansomHub

攻擊風格：機會主義攻擊（勒索軟件即服務，RaaS）

最大受害者： Frontier Communications （電信與基礎設施領域）

“爆炸性”事件：卷入ALPHV 的2200萬美元騙局風波。

2024 年初，RansomHub從Knight Ransomware的廢墟中崛起，成為最活躍的勒索軟件團伙之一。他們以機會主義策略而聞名，因與 ALPHV（BlackCat）的合作登上頭條。他們在Change Healthcare事件中的角色影響了超過1億美國公民，突顯了他們利用SaaS漏洞（包括配置錯誤、弱身份驗證和第三方集成）的能力，并最大限度地擴大了自己的影響范圍和影響力。

SaaS安全啟示：警惕利用竊取的個人信息進行的釣魚攻擊，這些攻擊更具欺騙性。

實施身份威脅檢測工具，監(jiān)控賬戶劫持跡象和用戶活動異常，以便及時識別并響應潛在的數(shù)據(jù)泄露。

4. LockBit

攻擊風格：持續(xù)進攻（勒索軟件即服務，RaaS）

最大受害者： Evolve Bank&Trust的供應鏈效應（金融科技領域）

“爆炸性”事件：FBI的“Cronos 行動”未能徹底將其消滅。

盡管 FBI 和NCA（英國國家犯罪局）不斷努力摧毀其基礎設施，LockBit 在勒索軟件的“賽場”上仍然占據(jù)主導地位。針對Evolve Bank&Trust等金融科技公司的高調(diào)行動，以及對Affirm和Wise等更多公司的供應鏈影響，鞏固了LockBit作為SaaS攻擊聯(lián)盟中最穩(wěn)定進攻者的地位。

SaaS安全啟示：優(yōu)先進行第三方供應商風險評估，并保持對 SaaS 應用連接的可視性，以便盡早發(fā)現(xiàn)潛在的利用路徑。

使用具備威脅檢測、 UEBA（用戶和實體行為分析）以及異常檢測功能的活動監(jiān)控工具，實時發(fā)現(xiàn)可疑行為。

5. Midnight Blizzard（APT29）

攻擊風格：防御性滲透（高級持續(xù)性威脅，APT）

最大受害者： TeamViewer （遠程訪問工具）

“爆炸性”事件：突破防線，開展無聲間諜活動。

這個組織得到了俄羅斯國家資源的支持，專門攻擊關(guān)鍵系統(tǒng)，2024年TeamViewer 成為其突出目標。這個組織并不張揚——不會留下勒索信或在暗網(wǎng)論壇上吹噓。相反，他們悄無聲息地竊取敏感數(shù)據(jù)，留下的數(shù)字足跡微乎其微，幾乎無法追蹤。與勒索軟件團伙不同，像Midnight Blizzard這樣的國家支持組織專注于網(wǎng)絡間諜活動，低調(diào)地收集情報而不觸發(fā)任何警報。

SaaS 安全啟示：對關(guān)鍵 SaaS 應用的入侵保持警惕，這些應用往往是國家級行為者的目標。定期進行配置審計以降低風險，并確保實施多因素認證（MFA）等安全訪問控制措施。

主動審計有助于最小化入侵影響并限制利用路徑。

第六人：值得關(guān)注的其他團體

Hellcat：一個在2024年底嶄露頭角的勒索軟件團伙，已確認對施耐德電氣（Schneider Electric）發(fā)起攻擊。他們的迅速崛起和初期成功預示著2025年可能會采取更激進的策略。

Scattered Spider：這個混合型社交工程團伙曾是網(wǎng)絡犯罪領域的主要參與者，在遭到逮捕和法律打擊后暫時沉寂。盡管他們的活動有所減少，但專家警告稱，現(xiàn)在斷言他們出局還為時過早。

這兩個團體都值得關(guān)注——一個是因為其發(fā)展勢頭，另一個是因為其聲譽和潛在東山再起的可能性。

2025年的關(guān)鍵要點

• 錯誤配置仍是主要目標：威脅行為者繼續(xù)利用被忽視的SaaS錯誤配置，獲取關(guān)鍵系統(tǒng)和敏感數(shù)據(jù)的訪問權(quán)限。定期審計、強制MFA和憑證輪換是必不可少的防御措施。
• 身份基礎設施遭受攻擊：攻擊者利用竊取的憑證、 API操作和隱蔽的數(shù)據(jù)外泄繞過防御。監(jiān)控憑證泄露、實施強MFA 、異常檢測和身份監(jiān)控是防止入侵的關(guān)鍵。
• 影子IT和供應鏈成為切入點：未經(jīng)授權(quán)的SaaS應用和應用間集成會產(chǎn)生隱藏的漏洞。持續(xù)監(jiān)控、主動監(jiān)督和自動化修復對于降低風險至關(guān)重要。

多層SaaS安全解決方案的基礎始于自動化的持續(xù)風險評估，并將持續(xù)監(jiān)控工具集成到安全管理中。

這并非他們的最后一舞，安全團隊必須時刻保持高度警惕，為迎接新的一年做好準備，繼續(xù)抵御全球最活躍的威脅行為者。

而不是等待下一次的入侵。

參考鏈接：https://thehackernews.com/2025/01/from-22m-in-ransom-to-100m-stolen.html