Mais de 225.000 registros contendo credenciais OpenAI ChatGPT comprometidas foram disponibilizados para venda em mercados subterrâneos entre janeiro e outubro de 2023, mostram novas descobertas do Grupo-IB.
Essas credenciais foram encontradas em registros de ladrões de informações associados ao malware ladrão LummaC2, Raccoon e RedLine.
“O número de dispositivos infectados diminuiu ligeiramente em meados e no final do verão, mas cresceu significativamente entre agosto e setembro”, disse a empresa de segurança cibernética com sede em Cingapura em seu relatório Hi-Tech Delito Trends 2023/2024 publicado na semana passada.
Entre junho e outubro de 2023, mais de 130.000 hosts únicos com entrada ao OpenAI ChatGPT foram infiltrados, um aumento de 36% em relação ao observado durante os primeiros cinco meses de 2023. A subdivisão pelas três principais famílias de ladrões está aquém:
- LummaC2 – 70.484 hosts
- Guaxinim – 22.468 anfitriões
- RedLine – 15.970 hosts
“O aumento acentuado no número de credenciais ChatGPT à venda se deve ao aumento universal no número de hosts infectados com ladrões de informações, cujos dados são portanto colocados à venda em mercados ou em UCLs”, disse o Group-IB.
O desenvolvimento ocorre no momento em que a Microsoft e a OpenAI revelam que atores estatais da Rússia, Coreia do Setentrião, Irão e China estão a testar lucidez sintético (IA) e grandes modelos de linguagem (LLMs) para complementar as suas operações de ataque cibernético em curso.
Afirmando que os LLMs podem ser usados por adversários para debater novas técnicas comerciais, gerar golpes convincentes e ataques de phishing e melhorar a produtividade operacional, o Grupo-IB disse que a tecnologia também pode apressar o reconhecimento, facilitar a realização de kits de ferramentas de hackers e fazer chamadas automáticas para golpistas.
“No pretérito, (os atores da ameaço) estavam principalmente interessados em computadores corporativos e em sistemas com entrada que permitissem o movimento através da rede”, observou. “Agora, eles também se concentram em dispositivos com entrada a sistemas públicos de IA.
“Isso lhes dá entrada a logs com o histórico de informação entre funcionários e sistemas, que podem usar para buscar informações confidenciais (para fins de espionagem), detalhes sobre infraestrutura interna, dados de autenticação (para conduzir ataques ainda mais prejudiciais) e informações sobre código-fonte do aplicativo.”
O afronta de credenciais de contas válidas por secção de agentes de ameaças emergiu uma vez que uma das principais técnicas de entrada, impulsionado principalmente pela fácil disponibilidade de tais informações por meio de malware ladrão.
“A combinação de um aumento no número de infostealers e o afronta de credenciais de contas válidas para obter entrada inicial exacerbou os desafios de gerenciamento de identidade e entrada dos defensores”, disse a IBM X-Force.
“Os dados de credenciais corporativas podem ser roubados de dispositivos comprometidos por meio da reutilização de credenciais, armazenamento de credenciais de navegador ou entrada a contas corporativas diretamente de dispositivos pessoais.”
