2024 yılında SaaS’ı hedef alan siber tehditler arttı; saniyede 7.000 parola saldırısı engellendi (yalnızca Entra ID’de) (geçen yıla göre %75 artış) ve kimlik avı girişimleri %58 artış göstererek 3,5 milyar dolarlık kayba neden oldu (kaynak: Microsoft Dijital Savunma Raporu 2024). SaaS saldırıları artıyor ve bilgisayar korsanları genellikle yasal kullanım kalıpları yoluyla tespit edilmekten kaçıyor. Siber tehdit arenasında, SaaS güvenliği alanında iz bırakan öne çıkan oyuncular, beklenmeyen mazlumlar ve amansız golcüler görüldü.
2025’e girerken güvenlik ekiplerinin öncelik vermesi gerekiyor SaaS güvenlik riski değerlendirmeleri güvenlik açıklarını ortaya çıkarmak, sürekli izleme için SSPM araçlarını benimsemek ve sistemlerini proaktif bir şekilde savunmak.
İşte dikkat etmeniz gereken Siber Tehdit All-Star’ları: MVP’ler, yükselen yıldızlar ve oyunu şekillendiren usta stratejistler.
1. ShinyHunters: En Değerli Oyuncu
- Oyun tarzı: Hassas Çekimler (Siber Suç Örgütü)
- En Büyük Kazanımlar: Snowflake, Ticketmaster ve Authy
- Önemli Dram: 165’ten fazla kuruluşa sızmak için bir yanlış yapılandırmadan yararlanıldı.
Parlak Avcılar Authy ve Ticketmaster gibi platformlardaki hassas verileri açığa çıkaran aralıksız SaaS ihlalleri serisiyle 2024’e girdik. Kampanyaları satıcının güvenlik açığından yararlanmak değil, Snowflake müşterilerinin gözden kaçırdığı bir yanlış yapılandırmadan yararlanmaktı. Sonuç olarak ShinyHunters, MFA’yı zorunlu kılmadan ve SaaS ortamlarını uygun şekilde güvence altına almadan bu snowflake kullanıcılarına sızabilir, sızabilir ve şantaj yapabilir.
🏀 Oyunun Arkasında: ShinyHunters, SaaS’ın yanlış yapılandırmalarından zahmetsizce yararlanarak karanlık webin yıldızları gibi çalışıyordu. Çalınan veri dökümleri sessiz olaylar değildi; açık artırma savaşları ve özel sızıntılar içeren teatral yayınlara cesaret ediyorlardı. Kimlik bilgileri çığ gibi büyüyerek kritik sistemlerde yaygın güvenlik açıklarına dönüşürken, Snowflake ihlali tek başına yaygın paniği tetikledi.
💡SaaS Güvenlik Dersleri: Snowflake kampanyası, satıcı hatalarını değil, müşteri tarafındaki kritik güvenlik gözetimlerini açığa çıkardı. Kuruluşlar MFA’yı zorunlu kılmada, kimlik bilgilerini düzenli olarak döndürmede ve izin verilenler listelerini uygulamada başarısız oldu; bu da sistemleri yetkisiz erişime karşı savunmasız bıraktı.
2. ALPHV (BlackCat): Aldatmacanın Ustası
- Oyun tarzı: Stratejik Manevra (Hizmet Olarak Fidye Yazılımı, RaaS)
- En Büyük Kazanımlar: Sağlık Hizmetlerini Değiştirin, İhtiyatlı (Sağlık ve Finans)
- Önemli Dram: RansomHub ile 22 milyon dolarlık çıkış dolandırıcılığı skandalı.
ALPHV, diğer adıyla Kara Kedi2024’te yılın en cesur hamlelerinden birini oynadı. Sağlık Hizmetini Değiştir grup, kimlik bilgilerini tehlikeye atarak çok cesur bir hareketle sahte bir sahtekarlık yaptı. FBI’ın yayından kaldırılması hem yetkilileri hem de bağlı kuruluşları yanıltmak için sızıntı sitelerinde. Ancak asıl dram, bir bağlı kuruluş olan RansomHub’ın ALPHV’yi fidyeyi alıp onları eli boş bırakmakla, hatta bir paylaşımda bulunmakla açıkça suçlamasıyla başladı. Bitcoin işlemi kanıt olarak. İhanete rağmen, bağlı kuruluş çalınan verileri yayınladı ve Change Healthcare’e fidye ödendi ve veriler kaybedildi.
🏀 Oyunun Arkasında: ALPHV ile RansomHub arasındaki anlaşmazlık, karanlık web forumlarında birbiriyle çelişen hikayeler ve hararetli suçlamalarla bir siber suç pembe dizisi gibi oynandı. Kaosa rağmen ALPHV’nin Prudential ve diğerlerine yaptığı saldırılar, yılın en zorlu fidye yazılımı oyuncularından biri olarak itibarını pekiştirdi.
💡SaaS Güvenlik Dersleri: Önleme amacıyla, kimlik bilgisi sızıntılarını karanlık ağ izlemeyle izleyin ve kimlik doğrulamayı kolaylaştırmak ve kimlik bilgisi risklerini azaltmak için Tek Oturum Açma’yı (SSO) zorunlu kılın. Tespit ve yanıt için kimlik doğrulama etkinliklerini izleyin, güvenliği ihlal edilmiş kimlik bilgilerini erken tespit edin ve kaba kuvvet saldırılarını önlemek için hesap askıya alma ilkelerini uygulayın.
3. RansomHub: Yılın Çaylağı
- Oyun tarzı: Fırsatçı Suç (Hizmet Olarak Fidye Yazılımı, RaaS)
- En Büyük Kazanım: Sınır İletişimi (Telekom ve Altyapı)
- Önemli Dram: ALPHV’nin 22 milyon dolarlık dolandırıcılığının sonuçları arasında yakalandık.
RansomHub Knight Ransomware’in küllerinden 2024’ün başlarında en aktif fidye yazılımı aktörlerinden biri olarak doğdu. Fırsatçı taktikleriyle tanınan bu grup, ALPHV (BlackCat) ile olan ilişkileriyle manşetlere çıktı. Change Healthcare ihlalindeki rolleri 100 milyondan fazla ABD vatandaşını etkileyerek, yanlış yapılandırmalar, zayıf kimlik doğrulama ve üçüncü taraf entegrasyonları da dahil olmak üzere SaaS güvenlik açıklarından yararlanarak erişimlerini ve etkilerini en üst düzeye çıkarma yeteneklerini ortaya çıkardı.
🏀 Oyunun Arkasında: ALPHV tarafından yedeklendikten ve Change Healthcare ihlali nedeniyle 22 milyon dolarlık fidye payını kaybettikten sonra RansomHub hâlâ çalınan verileri elinde tutuyordu; bu onları oyunda tutan güçlü bir oyundu. İhanete rağmen, bu çaylak tehdit aktörü yenilenmiş bir kararlılıkla sahaya çıktı ve Frontier Communications da dahil olmak üzere yıl boyunca yüksek profilli ihlallere imza attı. Zorlu bir ilk sezonun ardından bile fidye yazılımı liginde kalma konusunda kararlılar.
💡SaaS Güvenlik Dersleri: Daha inandırıcı saldırılar oluşturmak için çalınan kişisel bilgileri kullanan kimlik avı girişimlerine karşı tetikte olun. Hesap ele geçirme işaretlerini ve kullanıcı etkinliklerindeki anormallikleri izlemek için kimlik tehdidi algılama araçlarını uygulayarak olası ihlallerin zamanında tespit edilmesini ve bunlara yanıt verilmesini sağlayın.
4. LockBit: Yılın Debriyaj Oyuncusu
- Oyun tarzı: Acımasız Saldırı (Hizmet Olarak Fidye Yazılımı, RaaS)
- En Büyük Kazanımlar: Evolve Bank & Trust’tan (Fintech) tedarik zinciri etkisi
- Önemli Dram: FBI’ın Cronos Operasyonu onları tamamen durdurmayı başaramadı.
Kilit Biti Fidye yazılımı mahkemesine hükmediyor, FBI ve NCA’nın altyapılarını ortadan kaldırmaya yönelik süregelen çabalarına rağmen durmaksızın ihlal üstüne ihlali puanlıyor, tıpkı Steph Curry gibi; tehlikede çok şey varken tutarlı bir şekilde iyi performans gösteriyor. Tedarik zincirinin Affirm ve Wise gibi daha fazla şirketi etkilemesiyle Evolve Bank & Trust gibi Fintech şirketlerine karşı oynanan yüksek profilli oyunlar, LockBit’in SaaS saldırı ligindeki en tutarlı saldırı oyuncusu olma statüsünü sağlamlaştırdı.
🏀 Oyunun Arkasında: ‘Cronos’ Operasyonu sunucularını kesintiye uğratmasına ve kritik altyapıyı ele geçirmesine rağmen grup kararlılıkla geri döndü ve sızıntı sitelerindeki yetkililere “Beni durduramazsınız” gibi cesur iddialarla alay etti. Aralık 2024’te, LockBit geliştiricisi olduğu iddia edilen bir kişinin daha önce tutuklanmasıyla ilgili güncellemeler gördük; bu, ‘Cronos’ Operasyonunun devam eden doğasını vurguluyor ve bu küresel saldırının henüz bitmediğini gösteriyor.
💡SaaS Güvenlik Dersleri: Kötüye kullanım yollarını erken tespit etmek için üçüncü taraf sağlayıcı risk değerlendirmelerine öncelik verin ve SaaS uygulama bağlantısına ilişkin görünürlüğü koruyun. Şüpheli davranışları gerçek zamanlı olarak tespit etmek için tehdit algılama, UEBA (Kullanıcı ve Varlık Davranışı Analizi) ve anormallik algılama özelliklerine sahip etkinlik izleme araçlarını kullanın.
5. Midnight Blizzard (APT29): Sessiz Operatör
- Oyun tarzı: Savunma Sızması (Gelişmiş Kalıcı Tehdit, APT)
- En Büyük Kazanım: Takım Görüntüleyici (Uzaktan Erişim Aracı)
- Önemli Dram: Sessiz casusluk için bir geçit görevi gören bir ihlal.
Devlet destekli casusluğa gelince, Gece yarısı kar fırtınası—diğer adıyla APT29— Kawhi Leonard’ın kusursuz bir savunma oyunu yürütmesi, verileri sessizce ele geçirmesi ve dikkat çekmeden stratejik hamleler yapması gibi oynuyor. Rus devlet kaynakları tarafından desteklenen bu grup, kritik sistemleri hackleme konusunda uzmanlaşmıştır. Takım Görüntüleyici 2024’te öne çıkıyor. Bu grup gösterişli değil; fidye notları bırakmıyor veya dark web forumlarında övünmüyorlar. Bunun yerine, hassas verileri sessizce sızdırıyorlar ve dijital ayak izlerini o kadar soluk bırakıyorlar ki, takip edilmesi neredeyse imkansız. Fidye yazılımı gruplarının aksine Midnight Blizzard gibi devlet destekli aktörler siber casusluğa odaklanıyor ve herhangi bir alarmı tetiklemeden istihbarat toplamak için gizlice çalışıyor.
🏀 Oyunun Arkasında: Midnight Blizzard hızlı kazançlar için oynamaz; sızar, bekler ve izler. Devlet düzeyinde taktikler kullanarak, yıllarca olmasa da aylarca ağlarda gizli kalırlar ve herhangi bir alarm vermeden değerli istihbarat toplarlar. Şirket sonuçta TeamViewer ihlalini kontrol altına alsa da, hedefin doğası Midnight Blizzard’ın niyetini ortaya koyuyor; yoğun kullanıma sahip yüksek değerli kuruluşlara odaklanıyor ve bu dayanak noktalarını alt hedeflere yönelik daha geniş saldırılar için fırlatma rampası olarak kullanmayı hedefliyor.
💡SaaS Güvenlik Dersleri: Genellikle ulus devlet aktörleri tarafından hedef alınan kritik SaaS uygulamalarındaki ihlallere karşı tetikte olun. Riskleri azaltmak ve çok faktörlü kimlik doğrulama (MFA) gibi güvenli erişim kontrollerini sağlamak için düzenli yapılandırma denetimleri gerçekleştirin. Proaktif denetim, ihlalin etkisini en aza indirmeye yardımcı olur ve kötüye kullanım yollarını sınırlandırır.
Altıncı Adam: İzlenmesi Gereken ve Yedekte Kalan Yetenek
- Hellcat (İzlenecekler): Bir fidye yazılımı grubu sahneye çıktı 2024 sonuSchneider Electric’te onaylanmış bir başarı elde etti. Hızlı bir şekilde ortaya çıkmaları ve ilk başarıları, 2025’te daha agresif bir stratejiye yönelik potansiyelin sinyalini veriyor.
- Dağınık Örümcek (Kısa Yetenek): Bir zamanlar siber suçlarda önemli bir oyuncu olan bu hibrit sosyal mühendislik grubu tutuklamalar ve yasal baskıların ardından şu anda yedek kulübesinde oturuyor. Faaliyetleri yavaşlasa da uzmanlar, bunları saymak için henüz çok erken olduğu konusunda uyarıyor.
Her iki grup da takip edilmeye değer; biri momentumu, diğeri itibarı ve potansiyel geri dönüş hikayesi nedeniyle.
🔑 2025 İçin Temel Çıkarımlar:
- Yanlış Yapılandırmalar Ana Hedef Olmaya Devam Ediyor: Tehdit aktörleri, gözden kaçan yanlış SaaS yapılandırmalarından yararlanmaya, kritik sistemlere ve hassas verilere erişmeye devam ediyor. Düzenli denetimler, zorunlu MFA ve kimlik bilgisi rotasyonu temel savunmalardır.
- Kimlik Altyapısı Saldırı Altında: Saldırganlar, savunmaları atlatmak için çalınan kimlik bilgilerinden, API manipülasyonlarından ve gizli sızmalardan yararlanır. Sızdırılan kimlik bilgilerinin izlenmesi, güçlü MFA uygulamasına sahip olunması, anormallik tespiti ve kimlik izleme, ihlallerin önlenmesi açısından kritik öneme sahiptir.
- Giriş Noktası Olarak Gölge BT ve Tedarik Zinciri: Yetkisiz SaaS uygulamaları ve uygulamalardan uygulamaya entegrasyonlar gizli güvenlik açıkları oluşturur. Riske maruz kalmanın azaltılması için sürekli izleme, proaktif gözetim ve otomatik iyileştirme esastır.
Çok katmanlı bir SaaS güvenlik çözümünün temeli, otomatikleştirilmiş sürekli risk değerlendirmeleri ve sürekli izleme araçlarının güvenlik yönetiminize entegrasyonu ile başlar.
Bu onların son dansı değil. Güvenlik ekipleri bilgili, uyanık kalmalı ve dünyanın en üretken tehdit aktörlerine karşı savunma yapmak için bir yıl daha hazırlanmalı.
Bir sonraki ihlali beklemeyin.
SaaS’ınızı edinin Güvenlik Riski Değerlendirmesi Bugün.
