Ransomware Van $22 Miljoen Aan Losgeld Tot +100 Miljoen Gestolen Records INDIGNATIE AI & Politiek

Ransomware – In 2024 is het aantal cyberdreigingen gericht op SaaS dramatisch toegenomen, met 7.000 geblokkeerde wachtwoorden per seconde (alleen al op Entra ID) – een stijging van 75% ten opzichte van vorig jaar – en zijn phishing-pogingen met 58% toegenomen, wat verliezen veroorzaakte van 3,5 miljard dollar ( bron:  Microsoft Digital Defense). Rapport 2024  ).

Ransomware SaaS-aanvallen nemen toe en hackers vermijden vaak detectie via legitieme gebruikspatronen. Op het gebied van cyberdreigingen hebben we opmerkelijke spelers, onverwachte underdogs en meedogenloze scorers hun stempel zien drukken op het speelveld van SaaS-beveiliging.

Begin 2025 moeten beveiligingsteams prioriteit geven aan  SaaS-beveiligingsrisicobeoordelingen  om kwetsbaarheden te identificeren, SSPM-tools voor continue monitoring toe te passen en hun systemen proactief te beschermen.

Hier zijn de Cyber ​​Threat All-Stars waar je op moet letten: de MVP’s, rijzende sterren en meesterstrategen die het spel hebben vormgegeven.

• Spelstijl:  Precision Shots  (cybercriminele organisatie)
• Grootste winnaars:  Snowflake, Ticketmaster en Authy
• Opmerkelijk drama:  Eén verkeerde configuratie werd gebruikt om meer dan 165 organisaties te hacken.

ShinyHunters  ging 2024 in met een niet aflatende reeks SaaS-hacks, waarbij gevoelige gegevens op platforms als Authy en Ticketmaster openbaar werden gemaakt. Hun campagne was niet gericht op het misbruiken van een kwetsbaarheid bij leveranciers, maar eerder op een enkele misconfiguratie die door Snowflake-klanten over het hoofd werd gezien. Als gevolg hiervan konden ShinyHunters deze sneeuwvlokgebruikers infiltreren, exfiltreren en chanteren zonder MFA te implementeren en hun SaaS-omgevingen goed te beveiligen.

🏀Achter het spel:  ShinyHunters opereerden zoals alle darknet-sterren en profiteerden gemakkelijk van SaaS-misconfiguraties. Hun gestolen datadumps waren geen stille aangelegenheden; het waren gedurfde bioscoopreleases met biedingsoorlogen en exclusieve lekken. De Snowflake-hack zelf veroorzaakte wijdverbreide paniek toen de inloggegevens veranderden in wijdverbreide kwetsbaarheden in bedrijfskritische systemen.

💡SaaS-beveiligingslessen:  De Snowflake-campagne bracht kritieke beveiligingsfouten aan de clientzijde aan het licht, geen fouten van leveranciers. Organisaties slaagden er niet in om MFA af te dwingen, hun inloggegevens regelmatig te rouleren en witte lijsten te implementeren, waardoor systemen kwetsbaar werden voor ongeautoriseerde toegang.

• Speelstijl:  strategisch manoeuvreren  (ransomware as a service, RaaS)
• Grootste overwinningen:  transformatie van de gezondheidszorg, prudentieel  (gezondheidszorg en financiën)
• Beroemd drama:  het RansomHub-fraudeschandaal van $ 22 miljoen.

ALPHV, ook wel bekend als  BlackCat  , maakte in 2024 een van de meest gewaagde stappen van het jaar. Na 22 miljoen dollar van  Change Healthcare te hebben afgeperst  vanwege gecompromitteerde inloggegevens, heeft de groep, in een zeer flagrante actie,  de verwijdering  van de leksite door de FBI nagebootst om zowel de autoriteiten als de aangesloten bedrijven te misleiden. Maar het echte drama begon toen een aan RansomHub gelieerde onderneming ALPHV er publiekelijk van beschuldigde het losgeld aan te nemen en hen met lege handen achter te laten, en zelfs  een bitcointransactie als bewijs aanvoerde  . Ondanks het verraad gaf het filiaal de gestolen gegevens vrij, waardoor Change Healthcare het losgeld betaalde en de gegevens verloren gingen.

🏀Achter het spel:  het conflict tussen ALPHV en RansomHub heeft zich afgespeeld als een soapserie over cybercriminaliteit, met tegenstrijdige verhalen en verhitte beschuldigingen op duistere forums. Ondanks de chaos hebben de aanvallen van ALPHV op Prudential en anderen hun reputatie als een van de krachtigste ransomwarespelers van het jaar versterkt.

💡SaaS-beveiligingslessen:  Voorkom lekken van inloggegevens met monitoring op het dark web en implementeer single sign-on (SSO) om de authenticatie te stroomlijnen en de risico’s van inloggegevens te verminderen. Voor detectie en respons monitort u authenticatieacties, detecteert u gecompromitteerde inloggegevens vroegtijdig en handhaaft u beleid voor accountopschorting om brute force-aanvallen te voorkomen.

• Spelstijl:  Opportunistische misdaad  (Ransomware as a Service, RaaS)
• Grootste overwinning:  Frontier Communications  (telecommunicatie en infrastructuur)
• Beroemd drama:  betrokken bij de ALPHV-zwendel ter waarde van $ 22 miljoen.

RansomHub  verrees begin 2024 uit de as van Knight Ransomware als een van de meest actieve ransomware-bijdragers. Ze stonden bekend om hun opportunistische tactieken en haalden de krantenkoppen vanwege hun banden met ALPHV (BlackCat). Hun rol in de inbreuk op Change Healthcare trof meer dan 100 miljoen Amerikaanse burgers, wat hun vermogen benadrukt om SaaS-kwetsbaarheden, waaronder misconfiguraties, zwakke authenticatie en integraties van derden, te misbruiken om hun bereik en impact te maximaliseren.

🏀 Achter het spel:  Nadat ALPHV werd aangeklaagd en zijn deel van het losgeld van $ 22 miljoen verloor als gevolg van de Change Healthcare-hack, bewaarde RansomHub nog steeds de gestolen gegevens, een krachtig spel waardoor ze in het spel bleven. Ondanks het verraad stapte deze aspirant-acteur met hernieuwde vastberadenheid naar de rechter, waarbij hij het hele jaar door spraakmakende schendingen vastlegde, waaronder Frontier Communications. Ze zijn vastbesloten om zelfs na een zwaar eerste seizoen in de ransomware-competitie te blijven.

💡SaaS-beveiligingslessen:  wees u bewust van phishing-pogingen waarbij gestolen persoonlijke informatie wordt gebruikt om overtuigender aanvallen uit te voeren. Implementeer tools voor het detecteren van identiteitsbedreigingen om te controleren op tekenen van accountkaping en afwijkingen in de gebruikersactiviteit, waardoor tijdige identificatie en reactie op mogelijke inbreuken wordt gegarandeerd.

• Spelstijl:  meedogenloze overtreding  (Ransomware-as-a-Service, RaaS)
• Grootste overwinningen:  Supply Chain-effect door Evolve Bank & Trust (Fintech)
• Opmerkelijk drama:  Operatie Kronos van de FBI slaagde er niet in om ze volledig te sluiten.

LockBit  domineert de ransomware-rechtbank en installeert meedogenloos hack na hack, ondanks voortdurende pogingen van de FBI en de NSA om hun infrastructuur te ontmantelen, zoiets als Steph Curry – die het consequent goed doet als de inzet hoog is. Spraakmakende wedstrijden tegen fintech-bedrijven zoals Evolve Bank & Trust, met gevolgen voor de toeleveringsketen voor meer bedrijven zoals Affirm en Wise, hebben de status van LockBit als de meest consistente aanvallende speler in de SaaS-aanvalscompetitie versterkt.

🏀Achter het spel:  Hoewel Operatie Kronos hun servers crashte en kritieke infrastructuur overnam, kwam de groep vastberaden terug en beschimpte de autoriteiten op hun leksite met gewaagde uitspraken als: “Je kunt mij niet tegenhouden.” In december 2024 zagen we  een update  over de voorlopige arrestatie van de vermeende LockBit-ontwikkelaar, waarin de voortdurende aard van Operatie Kronos werd benadrukt en werd aangegeven dat deze wereldwijde operatie nog lang niet voorbij is.

💡SaaS-beveiligingslessen:  geef prioriteit aan risicobeoordelingen van externe leveranciers en behoud de zichtbaarheid van SaaS-applicatieconnectiviteit om exploits vroegtijdig te detecteren. Gebruik activiteitsmonitoring met bedreigingsdetectie, UEBA (User and Object Behavior Analysis) en tools voor het detecteren van afwijkingen om verdacht gedrag in realtime te detecteren.

• Spelstijl:  Defensieve penetratie  (Advanced Persistent Threat, APT)
• Grootste overwinning:  TeamViewer  (tool voor externe toegang)
• Een beroemd drama:  een bres als poort voor stille spionage.

Als het gaat om door de staat gesponsorde spionage,  speelt Midnight Blizzard  – ook bekend als APT29 – als Kawhi Leonard, waarbij hij feilloos een defensief spel speelt, heimelijk gegevens onderschept en strategische bewegingen maakt zonder de aandacht te trekken. Deze groep, gesteund door Russische staatsmiddelen, is gespecialiseerd in het hacken van kritische systemen, waaronder TeamViewer anno 2024 opvalt   . Deze groep is niet opzichtig: ze laten geen losgeldbriefjes achter en scheppen niet op op dark web-forums.

In plaats daarvan zuigen ze stilletjes gevoelige gegevens weg, waardoor een digitaal spoor achterblijft dat zo zwak is dat het bijna onmogelijk te traceren is. In tegenstelling tot ransomwaregroepen richten door de staat gesponsorde entiteiten als Midnight Blizzard zich op cyberspionage en werken ze heimelijk om informatie te verzamelen zonder dat er alarmen afgaan.

🏀Gameplay:  Midnight Blizzard speelt niet voor snelle overwinningen – ze sluipen naar binnen, wachten en kijken toe. Met behulp van tactieken op staatsniveau blijven ze maanden, zo niet jaren verborgen in netwerken, waarbij ze waardevolle informatie extraheren zonder alarm te slaan. Hoewel het bedrijf uiteindelijk de TeamViewer-hack heeft gepatcht, onthult de aard van het doelwit de intentie van Midnight Blizzard om zich te concentreren op hoogwaardige, intensief gebruikte organisaties, die deze bolwerken willen gebruiken als lanceerbasis voor bredere aanvallen op volgende doelwitten.

💡SaaS-beveiligingslessen:  wees alert op inbreuken op bedrijfskritische SaaS-applicaties die vaak worden aangevallen door nationale actoren. Voer regelmatig configuratie-audits uit om risico’s te verminderen en robuuste toegangscontroles zoals multi-factor authenticatie (MFA) te garanderen. Proactieve auditing helpt de impact van aanvallers te minimaliseren en exploits te beperken.

• Hellcat (The One to Watch):  Een ransomwaregroep die eind  2024 op het toneel verscheen  met een bevestigde hit op Schneider Electric. Hun snelle opkomst en aanvankelijke succes duiden op het potentieel voor agressiever spel in 2025.
• Scattered Spider (Talent on the Bench): Deze hybride social engineering-groep  was ooit een belangrijke speler in cybercriminaliteit en   zit nu aan de beklaagdenbank na arrestaties en gerechtelijke repressie. Ondanks het feit dat hun activiteit is afgenomen, waarschuwen deskundigen dat het nog te vroeg is om ze te tellen.

Beide groepen zijn de moeite waard om in de gaten te houden: de ene vanwege zijn momentum, de andere vanwege zijn reputatie en geschiedenis van potentiële comebacks.

1. Verkeerde configuraties blijven een belangrijk doelwit:  aanvallers blijven onopgemerkte SaaS-misconfiguraties gebruiken om toegang te krijgen tot bedrijfskritische systemen en gevoelige gegevens. Regelmatige controles, afgedwongen MFA en legitimatieroulatie zijn belangrijke waarborgen.
2. Identiteitsinfrastructuuraanval:  aanvallers gebruiken gestolen inloggegevens, API-manipulatie en stealth-kaping om de verdediging te omzeilen. Monitoring van legitimatiegegevens, strikte MFA-handhaving, detectie van afwijkingen en identiteitsmonitoring zijn van cruciaal belang om inbreuken te voorkomen.
3. Schaduw-IT en supply chain als toegangspunten:  ongeautoriseerde SaaS-applicaties en integratie tussen applicaties creëren verborgen kwetsbaarheden. Continue monitoring, proactief toezicht en geautomatiseerd herstel zijn essentieel om risico’s te beperken.

De basis van een meerlaagse SaaS-beveiligingsoplossing begint met geautomatiseerde, continue risicobeoordeling en de integratie van doorlopende monitoringtools in het beveiligingsbeheersysteem.

Dit is niet hun laatste dans. Beveiligingsteams moeten op de hoogte blijven, waakzaam blijven en zich voorbereiden op nog een jaar verdediging tegen de meest actieve bedreigingen ter wereld.

Bron: Thehackernieuws