En 2024, las amenazas cibernéticas dirigidas a SaaS aumentaron, con 7.000 ataques a contraseñas bloqueados por segundo (solo en Entra ID), un aumento del 75 % con respecto al año pasado, y los intentos de phishing aumentaron en un 58 %, lo que provocó pérdidas por 3.500 millones de dólares (fuente: Microsoft Digital Defense). Crónica 2024). Los ataques SaaS están aumentando y los piratas informáticos a menudo evaden la detección mediante patrones de uso legítimos. En el campo de las amenazas cibernéticas, jugadores destacados, perdedores inesperados y anotadores implacables dejaron su huella en el campo de equipo de seguridad SaaS.
A medida que entramos en 2025, los equipos de seguridad deben priorizar las evaluaciones de riesgos de seguridad de SaaS para descubrir vulnerabilidades, adoptar herramientas SSPM para un monitoreo continuo y defender sus sistemas de forma proactiva.
Aquí están las estrellas de Cyber Threat a las que hay que prestar atención: los MVP, las estrellas en promoción y los maestros estrategas que dieron forma al equipo.
1. ShinyHunters: el ludópata más valioso
- Estilo de equipo: Tiros de precisión (Estructura Cibercriminal)
- Mayores victorias: Copo de cocaína, Ticketmaster y Authy
- Dramas notables: Se aprovechó un error de configuración para violar más de 165 organizaciones.
ShinyHunters llegó a 2024 con una ola implacable de violaciones de SaaS, exponiendo datos confidenciales en plataformas como Authy y Ticketmaster. Su campaña no pretendía explotar la vulnerabilidad de un proveedor, sino sacar provecho de un error de configuración que los clientes de Snowflake pasaron por suspensión. Como resultado, ShinyHunters podría infiltrarse, exfiltrarse y chantajear a estos usuarios de copos de cocaína sin aplicar MFA y proteger adecuadamente sus entornos SaaS.
🏀 Detrás de la obra: ShinyHunters funcionó como estrellas de la web oscura, aprovechando sin esfuerzo las configuraciones erróneas de SaaS. Sus volcados de datos robados no fueron asuntos silenciosos: fueron estrenos atrevidos en cines que presentaban guerras de ofertas y filtraciones exclusivas. La filtración de Snowflake por sí sola provocó un pánico generalizado a medida que las credenciales se convirtieron en vulnerabilidades generalizadas en los sistemas críticos.
💡Lecciones de seguridad SaaS: La campaña Snowflake expuso descuidos críticos de seguridad del costado del cliente, no fallas de los proveedores. Las organizaciones no implementaron MFA, rotaron las credenciales con regularidad ni implementaron listas de permisos, lo que dejó los sistemas vulnerables al llegada no calificado.
2. ALPHV (BlackCat): El adiestrado del farsa
- Estilo de equipo: Maniobras estratégicas (Ransomware como servicio, RaaS)
- Mayores victorias: Cambiar atención médica, Prudential (Vitalidad y Finanzas)
- Dramas notables: El escándalo de la estafa de salida de 22 millones de dólares con RansomHub.
ALPHV, todavía conocido como BlackCat, realizó uno de los movimientos más audaces del año en 2024. Posteriormente de molestar 22 millones de dólares a Cambiar la atención médica a través de credenciales comprometidas, el familia, en un movimiento muy atrevido, fingió una aniquilación del FBI en su sitio de filtración para engañar tanto a las autoridades como a sus afiliados. Pero el seguro drama comenzó cuando RansomHub, un afiliado, acusó públicamente a ALPHV de aceptar el rescate y dejarlos con las manos vacías, incluso compartiendo una transacción de Bitcoin como prueba. Incluso con la traición, el afiliado publicó los datos robados, dejando a Change Healthcare con el rescate pagado y los datos perdidos.
🏀 Detrás de la obra: Las consecuencias entre ALPHV y RansomHub se desarrollaron como una telenovela sobre delitos cibernéticos, con historias contradictorias y acusaciones acaloradas en los foros de la web oscura. A pesar del caos, los ataques de ALPHV a Prudential y otros solidificaron su reputación como uno de los actores de ransomware más formidables del año.
💡Lecciones de seguridad SaaS: Para predisponer, realice un seguimiento de las fugas de credenciales con monitoreo de la red oscura y aplique el inicio de sesión único (SSO) para acelerar la autenticación y compendiar los riesgos de las credenciales. Para la detección y respuesta, siga las actividades de autenticación, detecte tempranamente las credenciales comprometidas y aplique políticas de suspensión de cuentas para evitar ataques de fuerza bruta.
3. RansomHub: Novato del año
- Estilo de equipo: Ofensa oportunista (Ransomware como servicio, RaaS)
- Longevo conquista: Comunicaciones fronterizas (Telecomunicaciones e infraestructura)
- Dramas notables: Atrapado en las consecuencias de la estafa de 22 millones de dólares de ALPHV.
RansomHub surgió de las cenizas de Knight Ransomware a principios de 2024 como uno de los actores de ransomware más activos. Conocidos por sus tácticas oportunistas, aparecieron en los titulares por su afiliación a ALPHV (BlackCat). Su papel en la violación de Change Healthcare afectó a más de 100 millones de ciudadanos estadounidenses, destacando su capacidad para explotar las vulnerabilidades de SaaS, incluidas configuraciones erróneas, autenticación débil e integraciones de terceros, maximizando su gravedad e impacto.
🏀 Detrás de la obra: Posteriormente de ser enviado a la banca por ALPHV y perder su parte del rescate de $22 millones por la violación de Change Healthcare, RansomHub aún conservaba los datos robados, una faena poderosa que los mantuvo en el equipo. A pesar de la traición, este actor de amenazas novato llegó a la cancha con determinación renovada, cometiendo violaciones de suspensión perfil durante todo el año, incluida Frontier Communications. Se muestran firmes en cuanto a permanecer en la federación del ransomware, incluso a posteriori de una primera temporada difícil.
💡Lecciones de seguridad SaaS: Manténgase alerta en presencia de intentos de phishing que explotan información personal robada para crear ataques más convincentes. Implemente herramientas de detección de amenazas de identidad para monitorear signos de apropiación de cuentas y anomalías en las actividades de los usuarios, lo que permitirá la identificación y respuesta oportuna a posibles infracciones.
4. LockBit: Tahúr Clutch del Año
- Estilo de equipo: Ofensa implacable (Ransomware como servicio, RaaS)
- Mayores victorias: Huella de la condena de suministro de Evolve Bank & Trust (Fintech)
- Dramas notables: La Operación Cronos del FBI no logró zanjar con ellos por completo.
LockBit domina el campo del ransomware, anotando implacablemente una infracción tras otra a pesar de los continuos esfuerzos del FBI y la NCA para desmantelar su infraestructura, poco así como Steph Curry, con un buen desempeño constante cuando hay mucho en equipo. Las jugadas de suspensión perfil contra empresas de tecnología financiera, como Evolve Bank & Trust, con la condena de suministro afectando a más empresas como Affirm y Wise, solidificaron el status de LockBit como el ludópata ofensivo más consistente en la federación de ataque SaaS.
🏀 Detrás de la obra: Aunque la Operación ‘Cronos’ interrumpió sus servidores y se apoderó de infraestructura crítica, el familia se recuperó con determinación, burlándose de las autoridades en su sitio de filtración con afirmaciones audaces como: «No pueden detenerme». En diciembre de 2024, vimos actualizaciones sobre un arresto mencionado de un supuesto desarrollador de LockBit, lo que destaca la naturaleza continua de la Operación ‘Cronos’, lo que indica que esta operación universal está acullá de terminar.
💡Lecciones de seguridad SaaS: Priorice las evaluaciones de riesgos de proveedores externos y mantenga la visibilidad de la conectividad de la aplicación SaaS para detectar vías de explotación tempranamente. Utilice herramientas de monitoreo de actividad con detección de amenazas, UEBA (Disección de comportamiento de usuarios y entidades) y detección de anomalías para detectar comportamientos sospechosos en tiempo vivo.
5. Midnight Blizzard (APT29): El cámara silencioso
- Estilo de equipo: Infiltración defensiva (Amenaza persistente destacamento, APT)
- Longevo conquista: Visor de equipo (Aparejo de llegada remoto)
- Dramas notables: Una brecha como puerta de entrada al espionaje silencioso.
Cuando se comercio de espionaje patrocinado por el estado, Midnight Blizzard, todavía conocido como APT29, juega como Kawhi Leonard ejecutando una faena defensiva impecable, interceptando datos silenciosamente y realizando movimientos estratégicos sin pulsar la atención. Este familia, respaldado por capital estatales rusos, se especializa en piratear sistemas críticos, destacando TeamViewer en 2024. Este familia no es provocativo: no dejan notas de rescate ni se jactan en foros de la web oscura. En cambio, extraen silenciosamente datos confidenciales, dejando huellas digitales tan débiles que son casi imposibles de rastrear. A diferencia de los grupos de ransomware, los actores patrocinados por el estado como Midnight Blizzard se centran en el ciberespionaje y trabajan discretamente para resumir inteligencia sin activar ninguna sobresalto.
🏀 Detrás de la obra: Midnight Blizzard no sondeo victorias rápidas: se infiltran, esperan y observan. Utilizando tácticas a nivel estatal, permanecen ocultos interiormente de las redes durante meses, si no abriles, extrayendo información valiosa sin originar sobresalto. Si adecuadamente la compañía finalmente contuvo la violación de TeamViewer, la naturaleza del objetivo revela la intención de Midnight Blizzard: centrarse en organizaciones de suspensión valía con uso extensivo, con el objetivo de explotar estos puntos de apoyo como plataformas de emanación para ataques más amplios contra objetivos posteriores.
💡Lecciones de seguridad SaaS: Esté atento a las infracciones en aplicaciones SaaS críticas, a menudo atacadas por actores estatales. Realice auditorías de configuración periódicas para compendiar los riesgos y certificar controles de llegada seguros, como la autenticación multifactor (MFA). La auditoría proactiva ayuda a minimizar el impacto de las infracciones y limita las vías de explotación.
El sexto hombre: el que hay que atender y el talento en la banca
- Hellcat (Los que hay que atender): Un familia de ransomware que irrumpió en espectáculo a finales de 2024 y logró un éxito confirmado en Schneider Electric. Su rápido surgimiento y éxito original indican potencial para un manual de estrategias más agresivo en 2025.
- Araña dispersa (talento en banca): Este familia híbrido de ingeniería social, que alguna vez fue un actor importante en el delito cibernético, ahora se sienta en el banquillo luego de valentía y medidas enérgicas legales. Si adecuadamente su actividad se desaceleró, los expertos advierten que es demasiado pronto para descartarlos.
Vale la pena atender a los dos grupos: uno por su impulso, el otro por su reputación y su posible historia de regreso.
🔑 Conclusiones esencia para 2025:
- Las configuraciones erróneas siguen siendo un objetivo principal: Los actores de amenazas continúan explotando configuraciones erróneas de SaaS que se pasan por suspensión, obteniendo llegada a sistemas críticos y datos confidenciales. Las auditorías periódicas, la aplicación de la MFA y la rotación de credenciales son defensas esenciales.
- Infraestructura de identidad bajo ataque: Los atacantes aprovechan las credenciales robadas, las manipulaciones de API y la filtración sigilosa para eludir las defensas. La supervisión de credenciales filtradas, una estricta aplicación de MFA, la detección de anomalías y la supervisión de identidad son fundamentales para predisponer infracciones.
- TI en la sombra y condena de suministro como puntos de entrada: Las aplicaciones SaaS no autorizadas y las integraciones de aplicación a aplicación crean vulnerabilidades ocultas. El monitoreo continuo, la supervisión proactiva y la remediación automatizada son esenciales para compendiar la exposición al aventura.
La pulvínulo de una decisión de seguridad SaaS multicapa comienza con evaluaciones de riesgos continuas y automatizadas y la integración de herramientas de monitoreo continuo en su trámite de seguridad.
Este no es su final bailete. Los equipos de seguridad deben mantenerse informados, vigilantes y preparados para un año más de defensa contra los actores de amenazas más prolíficos del mundo.
No espere a la próxima infracción.
Obtenga su evaluación de riesgos de seguridad de SaaS hoy.