Pada tahun 2024, ancaman dunia maya yang menargetkan SaaS melonjak, dengan 7.000 serangan kata sandi diblokir per detik (hanya di Entra ID)—meningkat sebesar 75% dari tahun lalu—dan upaya phishing meningkat sebesar 58%, menyebabkan kerugian sebesar $3,5 miliar (sumber: Microsoft Digital Defense Laporan 2024). Serangan SaaS semakin meningkat, dan peretas sering kali menghindari deteksi melalui pola penggunaan yang sah. Arena ancaman siber menampilkan pemain-pemain yang menonjol, tim yang tidak diunggulkan, dan pencetak gol yang tiada henti meninggalkan jejak mereka di bidang keamanan SaaS.
Saat kita memasuki tahun 2025, tim keamanan harus memprioritaskan penilaian risiko keamanan SaaS untuk mengungkap kerentanan, mengadopsi alat SSPM untuk pemantauan berkelanjutan, dan secara proaktif mempertahankan sistem mereka.
Berikut adalah para All-Star Ancaman Cyber yang harus diwaspadai—MVP, bintang baru, dan ahli strategi yang membentuk permainan ini.
1. ShinyHunters: Pemain Paling Berharga
- Gaya bermain: Tembakan Presisi (Organisasi Penjahat Dunia Maya)
- Kemenangan Terbesar: Kepingan Salju, Ticketmaster, dan Authy
- Drama Terkenal: Memanfaatkan satu kesalahan konfigurasi untuk melanggar 165+ organisasi.
ShinyHunters memasuki tahun 2024 dengan serangkaian pelanggaran SaaS yang tiada henti, mengekspos data sensitif di seluruh platform seperti Authy dan Ticketmaster. Kampanye mereka bukan tentang mengeksploitasi kerentanan vendor—tetapi memanfaatkan satu kesalahan konfigurasi yang diabaikan oleh pelanggan Snowflake. Akibatnya, ShinyHunters dapat menyusup, mengeksfiltrasi, dan memeras pengguna kepingan salju ini tanpa menerapkan MFA dan mengamankan lingkungan SaaS mereka dengan benar.
🏀 Dibalik Pertunjukan: ShinyHunters beroperasi seperti bintang-bintang di web gelap, dengan mudah memanfaatkan kesalahan konfigurasi SaaS. Pencurian data mereka bukanlah hal yang tenang—mereka adalah rilis teatrikal yang berani menampilkan perang penawaran dan kebocoran eksklusif. Pelanggaran Snowflake saja telah memicu kepanikan yang meluas ketika kredensial berkembang menjadi kerentanan yang meluas di seluruh sistem penting.
💡Pelajaran Keamanan SaaS: Kampanye Snowflake mengungkap pengawasan keamanan sisi klien yang penting, bukan kegagalan vendor. Organisasi gagal menerapkan MFA, merotasi kredensial secara teratur, dan menerapkan daftar izin, sehingga sistem rentan terhadap akses tidak sah.
2. ALPHV (BlackCat): Ahli Penipuan
- Gaya bermain: Manuver Strategis (Ransomware-as-a-Service, RaaS)
- Kemenangan Terbesar: Ubah Layanan Kesehatan, Prudential (Perawatan Kesehatan & Keuangan)
- Drama Terkenal: Skandal penipuan keluar $22 juta dengan RansomHub.
ALPHV, alias BlackCat, memainkan salah satu langkah paling berani tahun ini pada tahun 2024. Setelah memeras $22 juta dari Ubah Layanan Kesehatan melalui kredensial yang dikompromikan, kelompok tersebut, dengan langkah yang sangat berani, memalsukan penghapusan situs kebocoran FBI untuk menyesatkan pihak berwenang dan afiliasinya. Namun drama sebenarnya dimulai ketika RansomHub, sebuah afiliasi, secara terbuka menuduh ALPHV mengambil uang tebusan dan membiarkan mereka dengan tangan kosong, bahkan membagikan transaksi Bitcoin sebagai bukti. Bahkan dengan pengkhianatan tersebut, afiliasi tersebut mempublikasikan data yang dicuri, meninggalkan Change Healthcare dengan uang tebusan yang dibayarkan dan datanya hilang.
🏀 Dibalik Pertunjukan: Perselisihan antara ALPHV dan RansomHub terlihat seperti sinetron kejahatan dunia maya, dengan cerita yang saling bertentangan dan tuduhan panas di forum web gelap. Meskipun terjadi kekacauan, serangan ALPHV terhadap Prudential dan lainnya memperkuat reputasi mereka sebagai salah satu pemain ransomware paling tangguh tahun ini.
💡Pelajaran Keamanan SaaS: Untuk pencegahan, lacak kebocoran kredensial dengan pemantauan darknet dan terapkan Sistem Masuk Tunggal (SSO) untuk menyederhanakan autentikasi dan mengurangi risiko kredensial. Untuk deteksi dan respons, ikuti aktivitas autentikasi, deteksi kredensial yang disusupi sejak dini, dan terapkan kebijakan penangguhan akun untuk mencegah serangan brute force.
3. RansomHub: Pemula Terbaik Tahun Ini
- Gaya bermain: Pelanggaran Oportunistik (Ransomware-as-a-Service, RaaS)
- Kemenangan Terbesar: Komunikasi Perbatasan (Telekomunikasi & Infrastruktur)
- Drama Terkenal: Terperangkap dalam dampak penipuan ALPHV senilai $22 juta.
RansomHub bangkit dari abu Knight Ransomware pada awal tahun 2024 sebagai salah satu pelaku ransomware paling aktif. Dikenal karena taktik oportunistiknya, mereka menjadi berita utama karena afiliasinya dengan ALPHV (BlackCat). Peran mereka dalam pelanggaran Change Healthcare berdampak pada lebih dari 100 juta warga AS, menyoroti kemampuan mereka untuk mengeksploitasi kerentanan SaaS, termasuk kesalahan konfigurasi, autentikasi yang lemah, dan integrasi pihak ketiga, sehingga memaksimalkan jangkauan dan dampaknya.
🏀 Dibalik Pertunjukan: Setelah dicadangkan oleh ALPHV dan kehilangan uang tebusan sebesar $22 juta akibat pelanggaran Change Healthcare, RansomHub masih menyimpan data yang dicuri—sebuah permainan kuat yang membuat mereka tetap bertahan. Meski dikhianati, aktor ancaman pemula ini menyerang pengadilan dengan tekad baru, mencatatkan pelanggaran tingkat tinggi sepanjang tahun, termasuk Frontier Communications. Mereka bersikeras untuk tetap berada di liga ransomware, bahkan setelah musim pertama yang sulit.
💡Pelajaran Keamanan SaaS: Waspadai upaya phishing yang mengeksploitasi informasi pribadi yang dicuri untuk menciptakan serangan yang lebih meyakinkan. Menerapkan alat deteksi ancaman identitas untuk memantau tanda-tanda pengambilalihan akun dan anomali dalam aktivitas pengguna, memungkinkan identifikasi dan respons tepat waktu terhadap potensi pelanggaran.
4. LockBit: Pemain Kopling Terbaik Tahun Ini
- Gaya bermain: Pelanggaran Tanpa Henti (Ransomware-as-a-Service, RaaS)
- Kemenangan Terbesar: Efek rantai pasokan dari Evolve Bank & Trust (Fintech)
- Drama Terkenal: Operasi Cronos yang dilakukan FBI gagal menghentikan mereka sepenuhnya.
LockBit mendominasi pengadilan ransomware, tanpa henti melakukan pelanggaran demi pelanggaran meskipun ada upaya berkelanjutan dari FBI dan NCA untuk membongkar infrastruktur mereka, seperti Steph Curry – yang secara konsisten berkinerja baik ketika ada banyak hal yang dipertaruhkan. Permainan tingkat tinggi melawan perusahaan Fintech, seperti Evolve Bank & Trust, dengan rantai pasokan mempengaruhi lebih banyak perusahaan seperti Affirm dan Wise, memperkuat status LockBit sebagai pemain ofensif paling konsisten di liga serangan SaaS.
🏀 Dibalik Pertunjukan: Meskipun Operasi 'Cronos' mengganggu server mereka dan menyita infrastruktur penting, kelompok ini bangkit kembali dengan tekad, mengejek pihak berwenang di situs kebocoran mereka dengan klaim yang berani seperti, “Anda tidak bisa menghentikan saya.” Pada bulan Desember 2024, kami melihat kabar terbaru mengenai penangkapan sebelumnya terhadap tersangka pengembang LockBit— menyoroti sifat berkelanjutan dari Operasi 'Cronos', yang menandakan bahwa serangan global ini masih jauh dari selesai.
💡Pelajaran Keamanan SaaS: Prioritaskan penilaian risiko vendor pihak ketiga dan pertahankan visibilitas ke dalam konektivitas aplikasi SaaS untuk mendeteksi jalur eksploitasi sejak dini. Gunakan alat pemantauan aktivitas dengan deteksi ancaman, UEBA (Analisis Perilaku Pengguna dan Entitas), dan deteksi anomali untuk mendeteksi perilaku mencurigakan secara real-time.
5. Badai Salju Tengah Malam (APT29): Operator Senyap
- Gaya bermain: Infiltrasi Defensif (Ancaman Persisten Tingkat Lanjut, APT)
- Kemenangan Terbesar: Penampil Tim (Alat Akses Jarak Jauh)
- Drama Terkenal: Pelanggaran sebagai pintu gerbang spionase diam-diam.
Dalam hal spionase yang disponsori negara, Midnight Blizzard—alias APT29—bermain seperti Kawhi Leonard yang menjalankan permainan bertahan tanpa cela, diam-diam mencegat data, dan membuat gerakan strategis tanpa menarik perhatian. Grup ini, yang didukung oleh sumber daya negara Rusia, berspesialisasi dalam meretas sistem penting, dengan TeamViewer yang menonjol pada tahun 2024. Grup ini tidak mencolok—mereka tidak memberikan catatan tebusan atau membual di forum web gelap. Sebaliknya, mereka secara diam-diam mengambil data sensitif, meninggalkan jejak digital yang sangat samar sehingga hampir mustahil untuk dilacak. Berbeda dengan kelompok ransomware, aktor yang disponsori negara seperti Midnight Blizzard berfokus pada spionase dunia maya, bekerja secara diam-diam untuk mengumpulkan informasi intelijen tanpa memicu alarm apa pun.
🏀 Dibalik Pertunjukan: Midnight Blizzard tidak bermain untuk meraih kemenangan cepat—mereka menyusup, menunggu, dan menonton. Dengan menggunakan taktik tingkat negara bagian, mereka tetap tersembunyi dalam jaringan selama berbulan-bulan, bahkan bertahun-tahun, mengekstrak informasi intelijen yang berharga tanpa menimbulkan kekhawatiran apa pun. Meskipun perusahaan tersebut pada akhirnya mampu mengatasi pelanggaran TeamViewer, sifat targetnya mengungkapkan niat Midnight Blizzard—berfokus pada organisasi bernilai tinggi dengan penggunaan ekstensif, bertujuan untuk mengeksploitasi pijakan ini sebagai landasan peluncuran serangan yang lebih luas terhadap target hilir.
💡Pelajaran Keamanan SaaS: Tetap waspada terhadap pelanggaran dalam aplikasi SaaS penting, yang sering kali ditargetkan oleh aktor negara. Lakukan audit konfigurasi rutin untuk mengurangi risiko dan memastikan kontrol akses yang aman seperti autentikasi multifaktor (MFA). Audit proaktif membantu meminimalkan dampak pelanggaran dan membatasi jalur eksploitasi.
Orang Keenam: Yang Harus Diperhatikan dan Bakat yang Didudukkan
- Hellcat (Yang Harus Diperhatikan): Grup ransomware yang muncul pada akhir tahun 2024 dan berhasil dikonfirmasi berhasil menyerang Schneider Electric. Kemunculan mereka yang cepat dan kesuksesan awal menandakan potensi pedoman yang lebih agresif pada tahun 2025.
- Laba-laba Tersebar (Bakat Berbangku): Dulunya merupakan pemain utama dalam kejahatan dunia maya, kelompok rekayasa sosial hibrida ini kini duduk di bangku cadangan setelah adanya penangkapan dan tindakan keras hukum. Meskipun aktivitas mereka melambat, para ahli mengingatkan bahwa masih terlalu dini untuk mengabaikannya.
Kedua grup ini layak untuk diperhatikan—yang satu karena momentumnya, yang lain karena reputasinya dan potensi kisah comebacknya.
🔑 Poin Penting untuk tahun 2025:
- Kesalahan Konfigurasi Tetap Menjadi Target Utama: Pelaku ancaman terus mengeksploitasi kesalahan konfigurasi SaaS yang terabaikan, mendapatkan akses ke sistem penting dan data sensitif. Audit rutin, penerapan MFA, dan rotasi kredensial merupakan pertahanan yang penting.
- Infrastruktur Identitas Sedang Diserang: Penyerang memanfaatkan kredensial yang dicuri, manipulasi API, dan eksfiltrasi tersembunyi untuk menerobos pertahanan. Pemantauan kredensial yang bocor, penegakan MFA yang kuat, deteksi anomali, dan pemantauan identitas sangat penting untuk mencegah pelanggaran.
- Bayangkan TI dan Rantai Pasokan sebagai Titik Masuk: Aplikasi SaaS yang tidak sah dan integrasi aplikasi-ke-aplikasi menciptakan kerentanan tersembunyi. Pemantauan berkelanjutan, pengawasan proaktif, dan remediasi otomatis sangat penting untuk mengurangi paparan risiko.
Landasan solusi keamanan SaaS multi-lapis dimulai dengan penilaian risiko berkelanjutan otomatis dan integrasi alat pemantauan berkelanjutan ke dalam manajemen keamanan Anda.
Ini bukan tarian terakhir mereka. Tim keamanan harus tetap mendapat informasi, waspada, dan bersiap menghadapi ancaman paling produktif di dunia selama satu tahun lagi.
Jangan menunggu pelanggaran berikutnya.
Dapatkan Penilaian Risiko Keamanan SaaS Anda hari ini.
