Meer dan 225.000 logs met gecompromitteerde OpenAI ChatGPT-inloggegevens werden tussen januari en oktober 2023 te koop aangeboden op ondergrondse markten, zo blijkt uit nieuwe bevindingen van Group-IB.
Deze inloggegevens zijn gevonden in informatiestelerlogboeken die verband houden met LummaC2, Raccoon en RedLine stealer-malware.
“Het aantal geïnfecteerde apparaten daalde licht in het midden en aan het einde van de zomer, maar groeide aanzienlijk tussen augustus en september”, zei het cyberbeveiligingsbedrijf met hoofdkantoor in Singapore in zijn Hi-Tech Crime Trends 2023/2024-rapport dat vorige week werd gepubliceerd.
Tussen juni en oktober 2023 werden meer dan 130.000 unieke hosts met toegang tot OpenAI ChatGPT geïnfiltreerd, een stijging van 36% ten opzichte van wat werd waargenomen tijdens de eerste vijf maanden van 2023. De uitsplitsing naar de drie grootste stelersfamilies is hieronder:
- LummaC2 – 70.484 hosts
- Wasbeer – 22.468 gastheren
- RedLine – 15.970 hosts
“De scherpe stijging van het aantal ChatGPT-inloggegevens dat te koop is, is te wijten aan de algemene stijging van het aantal hosts dat is geïnfecteerd met informatiestelers, waarvan de gegevens vervolgens te koop worden aangeboden op markten of in UCL’s”, aldus Group-IB.
De ontwikkeling komt op het moment dat Microsoft en OpenAI onthulden dat nationale actoren uit Rusland, Noord-Korea, Iran en China experimenteren met kunstmatige intelligentie (AI) en grote taalmodellen (LLM’s) als aanvulling op hun lopende cyberaanvaloperaties.
Group-IB stelt dat LLM’s door tegenstanders kunnen worden gebruikt om te brainstormen over nieuwe handelstechnieken, overtuigende oplichtings- en phishing-aanvallen uit te voeren en de operationele productiviteit te verbeteren. Volgens Group-IB zou de technologie ook de verkenning kunnen versnellen, de uitvoering van hacktoolkits kunnen vergemakkelijken en oplichter-robocalls kunnen maken.
“In het verleden, [threat actors] waren vooral geïnteresseerd in bedrijfscomputers en in systemen met toegang die beweging over het netwerk mogelijk maakten”, merkte het op. “Nu richten ze zich ook op apparaten met toegang tot openbare AI-systemen.
“Hiermee krijgen ze toegang tot logs met de communicatiegeschiedenis tussen medewerkers en systemen, waarmee ze kunnen zoeken naar vertrouwelijke informatie (voor spionagedoeleinden), details over de interne infrastructuur, authenticatiegegevens (voor het uitvoeren van nog schadelijkere aanvallen) en informatie over broncode van de applicatie.”
Misbruik van geldige accountgegevens door bedreigingsactoren is uitgegroeid tot een van de meest gebruikte toegangstechnieken, voornamelijk gevoed door de gemakkelijke beschikbaarheid van dergelijke informatie via stealer-malware.
“De combinatie van een toename van het aantal infostealers en het misbruik van geldige accountgegevens om initiële toegang te krijgen, heeft de uitdagingen op het gebied van identiteit en toegangsbeheer voor verdedigers verergerd”, aldus IBM X-Force.
“Bedrijfsreferentiegegevens kunnen worden gestolen van gecompromitteerde apparaten door hergebruik van inloggegevens, opslag van browserinloggegevens of rechtstreekse toegang tot bedrijfsaccounts vanaf persoonlijke apparaten.”
