Group-IB’nin yeni bulgularına göre, risk altındaki OpenAI ChatGPT kimlik bilgilerini içeren 225.000’den fazla kayıt Ocak ve Ekim 2023 arasında yer altı pazarlarında satışa sunuldu.
Bu kimlik bilgileri LummaC2, Raccoon ve RedLine hırsızı kötü amaçlı yazılımlarla ilişkili bilgi hırsızı günlüklerinde bulundu.
Singapur merkezli siber güvenlik şirketi, “Enfekte olmuş cihazların sayısı yaz ortası ve sonlarında biraz azaldı, ancak Ağustos ve Eylül ayları arasında önemli ölçüde arttı” dedi. söz konusu Geçen hafta yayınlanan Yüksek Teknoloji Suç Eğilimleri 2023/2024 raporunda.
Haziran ve Ekim 2023 arasında, OpenAI ChatGPT’ye erişimi olan 130.000’den fazla benzersiz ana bilgisayara sızıldı; bu, 2023’ün ilk beş ayında gözlemlenenlere göre %36 artış gösterdi. İlk üç hırsız ailenin dökümü aşağıdadır:
- LummaC2 – 70.484 ana bilgisayar
- Rakun – 22.468 ana bilgisayar
- RedLine – 15.970 ana bilgisayar
Group-IB, “Satılık ChatGPT kimlik bilgilerinin sayısındaki keskin artış, verileri daha sonra pazarlarda veya UCL’lerde satışa sunulan, bilgi çalanların bulaştığı ana bilgisayarların sayısındaki genel artıştan kaynaklanmaktadır” dedi.
Gelişme, Microsoft ve OpenAI’nin Rusya, Kuzey Kore, İran ve Çin’den ulus devlet aktörlerinin devam eden siber saldırı operasyonlarını tamamlamak için yapay zeka (AI) ve büyük dil modelleri (LLM’ler) ile deneyler yaptığını ortaya çıkarmasıyla ortaya çıktı.
LLM’lerin rakipler tarafından yeni ticari beceriler üzerinde beyin fırtınası yapmak, ikna edici dolandırıcılık ve kimlik avı saldırıları oluşturmak ve operasyonel üretkenliği artırmak için kullanılabileceğini belirten Group-IB, teknolojinin aynı zamanda keşifleri hızlandırabileceğini, bilgisayar korsanlığı araç setlerinin yürütülmesini kolaylaştırabileceğini ve dolandırıcılara yönelik otomatik aramalar gerçekleştirebileceğini söyledi.
“Geçmişte, [threat actors] esas olarak kurumsal bilgisayarlarla ve ağ üzerinde hareketi mümkün kılan erişime sahip sistemlerle ilgileniyorlardı.” “Artık ayrıca halka açık yapay zeka sistemlerine erişimi olan cihazlara da odaklanıyorlar.
“Bu onlara çalışanlar ve sistemler arasındaki iletişim geçmişini içeren günlüklere erişim sağlıyor; bunları gizli bilgileri (casusluk amacıyla), iç altyapıyla ilgili ayrıntıları, kimlik doğrulama verilerini (daha da zarar verici saldırılar gerçekleştirmek için) ve uygulama kaynak kodunu (analiz etmek ve istismar edilebilecek potansiyel güvenlik açıklarını belirlemek için).”
Geçerli hesap kimlik bilgilerinin tehdit aktörleri tarafından kötüye kullanılması, öncelikle bu tür bilgilerin hırsız kötü amaçlı yazılım yoluyla kolayca elde edilebilmesi nedeniyle, bir üst düzey erişim tekniği olarak ortaya çıktı.
IBM X-Force, “Bilgi çalanların sayısındaki artış ve geçerli hesap kimlik bilgilerinin ilk erişim elde etmek için kötüye kullanılmasının birleşimi, savunucuların kimlik ve erişim yönetimi zorluklarını daha da artırdı.” söz konusu.
“Kurumsal kimlik bilgileri verileri, kimlik bilgilerinin yeniden kullanılması, tarayıcı kimlik bilgileri depoları veya kurumsal hesaplara doğrudan kişisel cihazlardan erişilmesi yoluyla güvenliği ihlal edilmiş cihazlardan çalınabilir.”