2024年，針對SaaS的網絡威脅激增，僅在Entra ID中，每秒阻止的密碼攻擊頻次就高達7000次，比前一年增加了75%，釣魚攻擊嘗試增加了58%，造成了35億美元的損失（來源：Microsoft Digital Defense Report 2024）。黑客通常通過合法使用模式來規避檢測。

進入2025年，安全團隊必須優先考慮SaaS安全風險評估以發現漏洞，并采用SSPM工具持續監控，主動進行系統防御。

以下是2025年需要重點關注的SaaS威脅行為者：

1. ShinyHunters

攻擊風格：精準射擊（網絡犯罪組織）

最大受害者：Snowflake 、Ticketmaster 和 Authy

“爆炸性”事件：利用一處配置錯誤，攻破了165多家組織。

2024年ShinyHunters以無情的SaaS漏洞攻擊席卷了整個網絡世界，泄露了包括Authy和Ticketmaster在內的多個平臺的敏感數據。他們的攻擊并非利用供應商的漏洞，而是抓住了 Snowflake客戶忽視的一處配置錯誤。這些用戶并未啟用多因素認證（MFA）或妥善保護其SaaS環境，因此，ShinyHunters能夠輕松滲透、竊取數據并勒索這些Snowflake用戶。

SaaS安全啟示：Snowflake事件暴露了客戶端的重大安全疏忽，而非供應商的失誤。

企業未能強制執行MFA 、定期輪換憑證或實施允許列表，導致系統容易遭受未經授權的訪問。

2. ALPHV（BlackCat）

攻擊風格：戰略操控（勒索軟件即服務，RaaS）

最大受害者：Change Healthcare 、Prudential（醫療保健與金融領域）

“爆炸性”事件： 與RansomHub的2200萬美元退出騙局。

ALPHV，又名BlackCat，在2024年上演了年度最大膽的操作之一。在通過竊取的憑證從 Change Healthcare勒索了2200萬美元后，他們竟然偽造了FBI查封的頁面，以誤導執法機構和合作伙伴。更戲劇的是，作為合作伙伴的RansomHub公開指控ALPHV獨吞贖金并讓他們空手而歸，甚至分享了一筆比特幣交易作為證據。盡管遭到背叛，RansomHub仍公布了被盜數據，導致Change Healthcare既支付了贖金又失去了數據。

SaaS安全啟示：通過暗網監控追蹤憑證泄露，并強制執行單點登錄（SSO）以簡化身份驗證流程，降低憑證風險。

跟蹤身份驗證活動，盡早檢測到被泄露的憑證，并應用賬戶暫停策略以防止暴力破解攻擊。

3. RansomHub

攻擊風格：機會主義攻擊（勒索軟件即服務，RaaS）

最大受害者： Frontier Communications （電信與基礎設施領域）

“爆炸性”事件：卷入ALPHV 的2200萬美元騙局風波。

2024 年初，RansomHub從Knight Ransomware的廢墟中崛起，成為最活躍的勒索軟件團伙之一。他們以機會主義策略而聞名，因與 ALPHV（BlackCat）的合作登上頭條。他們在Change Healthcare事件中的角色影響了超過1億美國公民，突顯了他們利用SaaS漏洞（包括配置錯誤、弱身份驗證和第三方集成）的能力，并最大限度地擴大了自己的影響范圍和影響力。

SaaS安全啟示：警惕利用竊取的個人信息進行的釣魚攻擊，這些攻擊更具欺騙性。

實施身份威脅檢測工具，監控賬戶劫持跡象和用戶活動異常，以便及時識別并響應潛在的數據泄露。

4. LockBit

攻擊風格：持續進攻（勒索軟件即服務，RaaS）

最大受害者： Evolve Bank&Trust的供應鏈效應（金融科技領域）

“爆炸性”事件：FBI的“Cronos 行動”未能徹底將其消滅。

盡管 FBI 和NCA（英國國家犯罪局）不斷努力摧毀其基礎設施，LockBit 在勒索軟件的“賽場”上仍然占據主導地位。針對Evolve Bank&Trust等金融科技公司的高調行動，以及對Affirm和Wise等更多公司的供應鏈影響，鞏固了LockBit作為SaaS攻擊聯盟中最穩定進攻者的地位。

SaaS安全啟示：優先進行第三方供應商風險評估，并保持對 SaaS 應用連接的可視性，以便盡早發現潛在的利用路徑。

使用具備威脅檢測、 UEBA（用戶和實體行為分析）以及異常檢測功能的活動監控工具，實時發現可疑行為。

5. Midnight Blizzard（APT29）

攻擊風格：防御性滲透（高級持續性威脅，APT）

最大受害者： TeamViewer （遠程訪問工具）

“爆炸性”事件：突破防線，開展無聲間諜活動。

這個組織得到了俄羅斯國家資源的支持，專門攻擊關鍵系統，2024年TeamViewer 成為其突出目標。這個組織并不張揚——不會留下勒索信或在暗網論壇上吹噓。相反，他們悄無聲息地竊取敏感數據，留下的數字足跡微乎其微，幾乎無法追蹤。與勒索軟件團伙不同，像Midnight Blizzard這樣的國家支持組織專注于網絡間諜活動，低調地收集情報而不觸發任何警報。

SaaS 安全啟示：對關鍵 SaaS 應用的入侵保持警惕，這些應用往往是國家級行為者的目標。定期進行配置審計以降低風險，并確保實施多因素認證（MFA）等安全訪問控制措施。

主動審計有助于最小化入侵影響并限制利用路徑。

第六人：值得關注的其他團體

Hellcat：一個在2024年底嶄露頭角的勒索軟件團伙，已確認對施耐德電氣（Schneider Electric）發起攻擊。他們的迅速崛起和初期成功預示著2025年可能會采取更激進的策略。

Scattered Spider：這個混合型社交工程團伙曾是網絡犯罪領域的主要參與者，在遭到逮捕和法律打擊后暫時沉寂。盡管他們的活動有所減少，但專家警告稱，現在斷言他們出局還為時過早。

這兩個團體都值得關注——一個是因為其發展勢頭，另一個是因為其聲譽和潛在東山再起的可能性。

2025年的關鍵要點

• 錯誤配置仍是主要目標：威脅行為者繼續利用被忽視的SaaS錯誤配置，獲取關鍵系統和敏感數據的訪問權限。定期審計、強制MFA和憑證輪換是必不可少的防御措施。
• 身份基礎設施遭受攻擊：攻擊者利用竊取的憑證、 API操作和隱蔽的數據外泄繞過防御。監控憑證泄露、實施強MFA 、異常檢測和身份監控是防止入侵的關鍵。
• 影子IT和供應鏈成為切入點：未經授權的SaaS應用和應用間集成會產生隱藏的漏洞。持續監控、主動監督和自動化修復對于降低風險至關重要。

多層SaaS安全解決方案的基礎始于自動化的持續風險評估，并將持續監控工具集成到安全管理中。

這并非他們的最后一舞，安全團隊必須時刻保持高度警惕，為迎接新的一年做好準備，繼續抵御全球最活躍的威脅行為者。

而不是等待下一次的入侵。

參考鏈接：https://thehackernews.com/2025/01/from-22m-in-ransom-to-100m-stolen.html