Más de 225.000 registros que contenían credenciales OpenAI ChatGPT comprometidas estuvieron disponibles para la venta en mercados clandestinos entre enero y octubre de 2023, según muestran nuevos hallazgos de Group-IB.
Estas credenciales se encontraron en registros de ladrones de información asociados con el malware ladrón LummaC2, Raccoon y RedLine.
“El número de dispositivos infectados disminuyó ligeramente a mediados y finales del verano, pero creció significativamente entre agosto y septiembre”, afirma la empresa de ciberseguridad con sede en Singapur. dicho en su informe Tendencias de delitos de alta tecnología 2023/2024 publicado la semana pasada.
Entre junio y octubre de 2023, se infiltraron más de 130.000 hosts únicos con acceso a OpenAI ChatGPT, un aumento del 36% con respecto a lo observado durante los primeros cinco meses de 2023. El desglose por las tres principales familias de ladrones se muestra a continuación:
- LummaC2 – 70,484 hosts
- Mapache – 22,468 anfitriones
- RedLine – 15,970 hosts
“El fuerte aumento en la cantidad de credenciales ChatGPT a la venta se debe al aumento general en la cantidad de hosts infectados con ladrones de información, cuyos datos luego se ponen a la venta en los mercados o en UCL”, dijo Group-IB.
El desarrollo se produce cuando Microsoft y OpenAI revelaron que actores-estado-nación de Rusia, Corea del Norte, Irán y China están experimentando con inteligencia artificial (IA) y grandes modelos de lenguaje (LLM) para complementar sus operaciones de ciberataque en curso.
Al afirmar que los adversarios pueden utilizar los LLM para generar ideas sobre nuevas técnicas comerciales, crear ataques convincentes de estafa y phishing y mejorar la productividad operativa, Group-IB dijo que la tecnología también podría acelerar el reconocimiento, facilitar la ejecución de kits de herramientas de piratería y realizar llamadas automáticas de estafadores.
“En el pasado, [threat actors] “Estaban interesados principalmente en computadoras corporativas y en sistemas con acceso que permitieran el movimiento a través de la red”, señaló. “Ahora, también se centran en dispositivos con acceso a sistemas públicos de IA.
“Esto les da acceso a registros con el historial de comunicación entre los empleados y los sistemas, que pueden utilizar para buscar información confidencial (con fines de espionaje), detalles sobre la infraestructura interna, datos de autenticación (para realizar ataques aún más dañinos) e información sobre código fuente de la aplicación.”
El abuso de credenciales de cuentas válidas por parte de actores de amenazas se ha convertido en una técnica de acceso principal, impulsada principalmente por la fácil disponibilidad de dicha información a través de malware ladrón.
“La combinación de un aumento en los robos de información y el abuso de credenciales de cuentas válidas para obtener acceso inicial ha exacerbado los desafíos de gestión de acceso e identidad de los defensores”, IBM X-Force dicho.
“Los datos de credenciales empresariales se pueden robar de dispositivos comprometidos mediante la reutilización de credenciales, almacenes de credenciales del navegador o accediendo a cuentas empresariales directamente desde dispositivos personales”.