De All-Star SaaS-dreigingsacteurs van 2025 om in de gaten te houden

In 2024 namen de cyberbedreigingen gericht op SaaS toe, waarbij 7.000 wachtwoordaanvallen per seconde werden geblokkeerd (alleen in Entra ID) – een stijging van 75% ten opzichte van vorig jaar – en het aantal phishing-pogingen met 58% toenam, wat $3,5 miljard aan verliezen veroorzaakte (bron: Microsoft Digital Defense Rapport 2024). SaaS-aanvallen nemen toe, waarbij hackers vaak detectie omzeilen via legitieme gebruikspatronen. Op het gebied van cyberdreigingen drukten opvallende spelers, onverwachte underdogs en meedogenloze scorers hun stempel op het speelveld van SaaS-beveiliging.

Nu we 2025 ingaan, moeten beveiligingsteams prioriteit geven aan SaaS-beveiligingsrisicobeoordelingen om kwetsbaarheden bloot te leggen, SSPM-tools voor continue monitoring te gebruiken en hun systemen proactief te verdedigen.

Dit zijn de Cyber ​​Threat All-Stars waar je op moet letten: de MVP’s, rijzende sterren en meesterstrategen die het spel hebben vormgegeven.

1. ShinyHunters: de meest waardevolle speler

  • Speelstijl: Precisieschoten (Cybercriminele organisatie)
  • Grootste overwinningen: Sneeuwvlok, Ticketmaster en Authy
  • Opmerkelijk drama: Eén verkeerde configuratie misbruikt om inbreuk te maken op meer dan 165 organisaties.

ShinyHunters stormde 2024 binnen met een meedogenloze golf van SaaS-inbreuken, waardoor gevoelige gegevens op platforms als Authy en Ticketmaster openbaar werden gemaakt. Hun campagne ging niet over het uitbuiten van een kwetsbaarheid bij leveranciers, maar over het kapitaliseren van een misconfiguratie die door Snowflake-klanten over het hoofd werd gezien. Als gevolg hiervan konden ShinyHunters deze sneeuwvlokgebruikers infiltreren, exfiltreren en chanteren zonder MFA af te dwingen en hun SaaS-omgevingen goed te beveiligen.

🏀 Achter het toneelstuk: ShinyHunters opereerden als alle sterren van het dark web en profiteerden moeiteloos van SaaS-misconfiguraties. Hun gestolen datadumps waren geen stille aangelegenheden; het waren gedurfde bioscoopreleases met biedingsoorlogen en exclusieve lekken. Alleen al de Snowflake-inbreuk veroorzaakte wijdverspreide paniek, omdat de inloggegevens zich uitbreidden tot wijdverbreide kwetsbaarheden in kritieke systemen.

💡SaaS-beveiligingslessen: De Snowflake-campagne bracht kritische veiligheidstoezichten aan de klantzijde aan het licht, en niet de tekortkomingen van leveranciers. Organisaties slaagden er niet in MFA af te dwingen, inloggegevens regelmatig te rouleren en acceptatielijsten te implementeren, waardoor systemen kwetsbaar werden voor ongeautoriseerde toegang.

2. ALPHV (BlackCat): De meester van bedrog

  • Speelstijl: Strategisch manoeuvreren (Ransomware-as-a-Service, RaaS)
  • Grootste overwinningen: Verander de gezondheidszorg, prudentieel (Zorg & Financiën)
  • Opmerkelijk drama: Het exit-zwendelschandaal van $ 22 miljoen met RansomHub.

ALPHV, ook bekend als BlackCat, speelde in 2024 een van de brutaalste zetten van het jaar. Na 22 miljoen dollar af te persen van Verander de gezondheidszorg Door middel van gecompromitteerde inloggegevens heeft de groep, op een zeer gewaagde manier, een FBI-uitschakeling op hun leksite nagebootst om zowel de autoriteiten als de aangesloten bedrijven te misleiden. Maar het echte drama begon toen RansomHub, een dochteronderneming, ALPHV er publiekelijk van beschuldigde het losgeld aan te nemen en hen met lege handen achter te laten, en zelfs een Bitcoin-transactie als bewijs deelde. Zelfs na het verraad publiceerde het aangesloten bedrijf de gestolen gegevens, waardoor Change Healthcare het betaalde losgeld achterliet en de gegevens verloren gingen.

🏀 Achter het toneelstuk: De gevolgen tussen ALPHV en RansomHub speelden zich af als een soapserie over cybercriminaliteit, met tegenstrijdige verhalen en verhitte beschuldigingen op dark web-forums. Ondanks de chaos versterkten de aanvallen van ALPHV op Prudential en anderen hun reputatie als een van de meest geduchte ransomwarespelers van het jaar.

💡SaaS-beveiligingslessen: Ter voorkoming kunt u lekken van inloggegevens opsporen met darknet-monitoring en Single Sign-On (SSO) afdwingen om de authenticatie te stroomlijnen en de risico’s van inloggegevens te verminderen. Voor detectie en respons volgt u de authenticatieactiviteiten, detecteert u gecompromitteerde inloggegevens vroegtijdig en past u beleid voor accountopschorting toe om brute-force-aanvallen te voorkomen.

3. RansomHub: Rookie van het jaar

  • Speelstijl: Opportunistische overtreding (Ransomware-as-a-Service, RaaS)
  • Grootste overwinning: Grenscommunicatie (Telecom & Infrastructuur)
  • Opmerkelijk drama: Gevangen in de gevolgen van ALPHV’s $22M-zwendel.

RansomHub verrees begin 2024 uit de as van Knight Ransomware als een van de meest actieve ransomware-actoren. Bekend om hun opportunistische tactieken, haalden ze de krantenkoppen met hun banden met ALPHV (BlackCat). Hun rol in de inbreuk op Change Healthcare had gevolgen voor meer dan 100 miljoen Amerikaanse burgers, wat hun vermogen benadrukte om SaaS-kwetsbaarheden te misbruiken, waaronder misconfiguraties, zwakke authenticatie en integraties van derden, waardoor hun bereik en impact werd gemaximaliseerd.

🏀 Achter het toneelstuk: Nadat ze door ALPHV op de bank waren gezet en hun deel van het losgeld van 22 miljoen dollar als gevolg van de inbreuk op Change Healthcare hadden verloren, hield RansomHub nog steeds de gestolen gegevens vast – een krachtig spel dat hen in het spel hield. Ondanks het verraad kwam deze beginnende dreigingsacteur met hernieuwde vastberadenheid naar de rechtbank en scoorde het hele jaar door spraakmakende inbreuken, waaronder Frontier Communications. Ze zijn vastbesloten om in de ransomware-competitie te blijven, zelfs na een moeilijk eerste seizoen.

💡SaaS-beveiligingslessen: Blijf alert op phishing-pogingen waarbij gestolen persoonlijke informatie wordt misbruikt om overtuigendere aanvallen te creëren. Implementeer tools voor het detecteren van identiteitsbedreigingen om te monitoren op tekenen van accountovernames en afwijkingen in gebruikersactiviteiten, waardoor tijdige identificatie en reactie op potentiële inbreuken mogelijk wordt.

4. LockBit: Clutch-speler van het jaar

  • Speelstijl: Meedogenloze overtreding (Ransomware-as-a-Service, RaaS)
  • Grootste overwinningen: Supply chain-effect van Evolve Bank & Trust (Fintech)
  • Opmerkelijk drama: Operatie Cronos van de FBI slaagde er niet in om ze volledig te sluiten.

LockBit domineert de ransomware-rechtbank en scoort meedogenloos inbreuk na inbreuk, ondanks de voortdurende inspanningen van de FBI en de NCA om hun infrastructuur te ontmantelen, een beetje zoals Steph Curry – en presteert consequent goed als er veel op het spel staat. Spraakmakende wedstrijden tegen Fintech-bedrijven, zoals Evolve Bank & Trust, waarbij de toeleveringsketen meer bedrijven zoals Affirm en Wise beïnvloedde, versterkten de status van LockBit als de meest consistente aanvallende speler in de SaaS-aanvalscompetitie.

🏀 Achter het toneelstuk: Hoewel Operatie ‘Cronos’ hun servers ontwrichtte en kritieke infrastructuur in beslag nam, kwam de groep vastberaden terug en beschimpte de autoriteiten op hun leklocatie met gewaagde beweringen als: “Je kunt mij niet tegenhouden.” In december 2024 zagen we updates over een eerdere arrestatie van een vermeende LockBit-ontwikkelaar, waarbij de voortdurende aard van Operatie ‘Cronos’ werd benadrukt, wat aangeeft dat deze wereldwijde angel nog lang niet voorbij is.

💡SaaS-beveiligingslessen: Geef prioriteit aan risicobeoordelingen van externe leveranciers en behoud inzicht in de connectiviteit van SaaS-apps om exploitatietrajecten vroegtijdig te detecteren. Gebruik tools voor activiteitsmonitoring met detectie van bedreigingen, UEBA (User and Entity Behavior Analytics) en detectie van afwijkingen om verdacht gedrag in realtime te detecteren.

5. Midnight Blizzard (APT29): De stille operator

  • Speelstijl: Defensieve infiltratie (Geavanceerde aanhoudende dreiging, APT)
  • Grootste overwinning: TeamViewer (Tool voor externe toegang)
  • Opmerkelijk drama: Een inbreuk als toegangspoort tot stille spionage.

Als het gaat om door de staat gesponsorde spionage, speelt Midnight Blizzard, ook wel APT29 genoemd, als Kawhi Leonard die een feilloos verdedigend spel speelt, stilletjes gegevens onderschept en strategische bewegingen maakt zonder de aandacht te trekken. Deze groep, gesteund door Russische staatsmiddelen, is gespecialiseerd in het hacken van kritieke systemen, waarbij TeamViewer in 2024 opvalt. Deze groep is niet opzichtig: ze laten geen losgeldbriefjes achter en scheppen niet op op dark web-forums. In plaats daarvan exfiltreren ze stilletjes gevoelige gegevens, waardoor digitale voetafdrukken zo vaag zijn dat ze bijna onmogelijk te traceren zijn. In tegenstelling tot ransomwaregroepen richten door de staat gesponsorde actoren als Midnight Blizzard zich op cyberspionage en werken ze discreet om informatie te verzamelen zonder dat er alarmen afgaan.

🏀 Achter het toneelstuk: Midnight Blizzard speelt niet voor snelle overwinningen: ze infiltreren, wachten en kijken toe. Met behulp van tactieken op staatsniveau blijven ze maanden, zo niet jaren verborgen binnen netwerken, waarbij ze waardevolle informatie extraheren zonder dat er alarm slaat. Hoewel het bedrijf uiteindelijk de TeamViewer-inbraak wist te bedwingen, onthult de aard van het doelwit de intentie van Midnight Blizzard: zich richten op hoogwaardige organisaties met uitgebreid gebruik, met als doel deze steunpunten te exploiteren als lanceerplatform voor bredere aanvallen op downstream-doelen.

💡SaaS-beveiligingslessen: Blijf waakzaam voor inbreuken op kritieke SaaS-applicaties, vaak het doelwit van nationale actoren. Voer regelmatig configuratie-audits uit om risico’s te verminderen en veilige toegangscontroles zoals multi-factor authenticatie (MFA) te garanderen. Proactieve auditing helpt de impact van inbreuken te minimaliseren en misbruiktrajecten te beperken.

De zesde man: degene om naar te kijken en het talent op de bank

  • Hellcat (degenen om naar te kijken): Een ransomwaregroep die eind 2024 op het toneel verscheen en een bevestigde hit scoorde op Schneider Electric. Hun snelle opkomst en aanvankelijke succes duiden op potentieel voor een agressiever draaiboek in 2025.
  • Verspreide Spin (Benched Talent): Deze hybride social engineering-groep was ooit een belangrijke speler op het gebied van cybercriminaliteit en zit nu op de bank na arrestaties en juridisch optreden. Terwijl hun activiteit vertraagde, waarschuwen experts dat het te vroeg is om ze uit te rekenen.

Beide groepen zijn de moeite waard om in de gaten te houden: de ene vanwege zijn momentum, de andere vanwege zijn reputatie en potentiële comeback-verhaal.

🔑 Belangrijkste aandachtspunten voor 2025:

  1. Verkeerde configuraties blijven een belangrijk doelwit: Bedreigingsactoren blijven misbruik maken van over het hoofd geziene SaaS-misconfiguraties, waardoor ze toegang krijgen tot kritieke systemen en gevoelige gegevens. Regelmatige audits, afgedwongen MFA en legitimatieroulatie zijn essentiële verdedigingsmechanismen.
  2. Identiteitsinfrastructuur wordt aangevallen: Aanvallers maken gebruik van gestolen inloggegevens, API-manipulaties en heimelijke exfiltratie om de verdediging te omzeilen. Controle op gelekte inloggegevens, sterke MFA-handhaving, detectie van afwijkingen en identiteitsmonitoring zijn van cruciaal belang om inbreuken te voorkomen.
  3. Schaduw-IT en supply chain als toegangspunten: Ongeautoriseerde SaaS-applicaties en app-naar-app-integraties zorgen voor verborgen kwetsbaarheden. Continue monitoring, proactief toezicht en geautomatiseerd herstel zijn essentieel om de blootstelling aan risico’s te verminderen.

De basis van een meerlaagse SaaS-beveiligingsoplossing begint met geautomatiseerde, continue risicobeoordelingen en de integratie van doorlopende monitoringtools in uw beveiligingsbeheer.

Dit is niet hun laatste dans. Beveiligingsteams moeten op de hoogte blijven, waakzaam blijven en zich voorbereiden op nog een jaar verdediging tegen ’s werelds meest productieve dreigingsactoren.

Wacht niet op de volgende inbreuk.

Ontvang vandaag nog uw SaaS-beveiligingsrisicobeoordeling.

Thijs Van der Does